一、强化日志文件权限管理
确保Tomcat运行用户(通常为tomcat)对日志文件及目录具有正确的写入权限,同时限制其他用户的访问。具体操作:
/opt/tomcat/logs或/var/log/tomcat)的所有者设为tomcat,目录权限设为750(所有者可读、写、执行,组用户可读、执行,其他用户无权限);catalina.out、localhost_access_log.*.txt)权限设为640(所有者可读、写,组用户可读,其他用户无权限)。chown -R tomcat:tomcat /path/to/tomcat/logs和chmod -R 750 /path/to/tomcat/logs命令完成设置。二、配置日志轮转与归档
防止单一日志文件过大导致敏感信息泄露,同时便于长期保存和审计。常用方法:
/etc/logrotate.d/tomcat文件,添加如下配置(以每日轮转、保留7天为例):/opt/tomcat/logs/catalina.out {
daily
rotate 7
compress
missingok
notifempty
copytruncate
}
conf/logging.properties中设置FileHandler参数,限制单个日志文件大小(如limit=5MB)和备份数量(如count=5);或在server.xml中开启AccessLogValve的rotatable="true"属性。三、调整日志级别与内容
避免记录过多敏感信息,同时保留关键安全事件记录:
conf/logging.properties,将catalina、localhost等核心日志的级别设为WARNING或ERROR(减少调试信息泄露),仅对安全相关包(如org.apache.catalina.realm、org.apache.coyote)设为FINE(记录详细访问信息);conf/server.xml中的Server标签,移除version属性;或解压catalina.jar,编辑org/apache/catalina/util/ServerInfo.properties文件,修改server.info和server.number为自定义值(如Apache Tomcat/Custom),重新打包catalina.jar;server.xml中注释AccessLogValve配置;或通过logging.properties设置org.apache.catalina.access_log.level=OFF。四、严格管控日志文件访问
防止未授权用户读取或篡改日志文件:
chmod和chown确保只有tomcat用户和tomcat组可访问日志目录;setenforce 1),通过semanage fcontext和restorecon命令设置日志目录的安全上下文(如tomcat_log_t);或配置AppArmor限制Tomcat进程对日志文件的访问权限;firewalld或iptables限制访问日志文件的IP地址(如仅允许管理员IP访问/var/log/tomcat目录)。五、监控与分析日志内容
及时发现异常行为和安全事件:
六、补充安全措施
进一步提升日志及Tomcat整体安全性:
conf/server.xml中的Realm配置,记录认证失败信息);java.util.logging,采用Log4j 2或Logback等第三方日志库,提供更丰富的日志管理功能(如异步日志、加密日志);