以下是Tomcat在Linux上的安全设置要点:
用户权限管理
tomcat
),禁止以root
身份运行Tomcat。/opt/tomcat
)权限为755
,配置文件权限为644
,仅允许所有者读写。禁用默认管理界面
webapps
目录下的manager
、host-manager
等默认应用。conf/tomcat-users.xml
中删除默认用户或限制其访问IP。配置防火墙规则
ufw
或firewalld
限制Tomcat端口(如8080
)仅允许本地或特定IP访问。ufw
):sudo ufw allow from 127.0.0.1 to any port 8080
。启用SSL/TLS加密
conf/server.xml
中的SSL连接器,禁用明文HTTP(如将redirectPort
指向443
)。关闭危险功能
conf/server.xml
中的AJP Connector
配置。conf/web.xml
中listings
参数为false
。日志与监控
系统级安全加固
ulimit
)。参考来源:[1,2,3,4,5,6,7,8,9,10,11]