如何在Linux上安全运行Tomcat

在Linux上安全运行Tomcat需从用户权限、配置加固、网络隔离等多方面入手，以下是关键措施：

1. 最小权限运行
   • 创建专用Tomcat用户（非root），仅赋予运行所需的最小权限。
   • 确保应用部署目录权限为750，Tomcat用户仅拥有读写权限。
2. 配置文件安全加固
   • 隐藏版本信息：修改server.xml或ServerInfo.properties，避免泄露Tomcat版本。
   • 禁用自动部署：设置autoDeploy="false"，防止恶意代码自动部署。
   • 自定义错误页面：在web.xml中配置自定义错误页面，避免暴露敏感信息。
   • 禁止目录列表：设置listings="false"，防止未授权访问目录内容。
3. 服务端口与协议安全
   • 修改默认端口：将HTTP端口从8080改为其他非标准端口，减少扫描攻击。
   • 启用HTTPS：配置SSL/TLS证书，强制使用加密传输（需在server.xml中添加SSL连接器）。
   • 关闭AJP端口：若无需与Apache集成，注释或删除AJP连接器配置。
4. 访问控制与认证
   • 限制管理界面访问：通过IP白名单或修改tomcat-users.xml限制管理页面访问。
   • 设置强密码：为管理用户配置包含大小写字母、数字、特殊符号的复杂密码。
5. 系统层面防护
   • 防火墙规则：使用ufw或firewalld限制仅允许特定IP访问Tomcat端口。
   • 定期更新：及时升级Tomcat至最新版本，修复已知漏洞。
   • 日志监控：定期审查catalina.out等日志，检测异常访问或攻击行为。
6. 其他高级措施
   • 禁用危险HTTP方法：在web.xml中限制PUT、DELETE等非必要方法。
   • 备份与恢复：定期备份配置文件和应用数据，确保故障可快速恢复。

参考来源：