Tomcat在Linux上的安全设置

以下是Tomcat在Linux上的安全设置要点：

1. 用户权限管理

   • 创建专用用户（如tomcat），禁止以root身份运行Tomcat。
   • 确保Tomcat目录（如/opt/tomcat）权限为755，配置文件权限为644，仅允许所有者读写。

2. 禁用默认管理界面

   • 删除或重命名webapps目录下的manager、host-manager等默认应用。
   • 在conf/tomcat-users.xml中删除默认用户或限制其访问IP。

3. 配置防火墙规则

   • 使用ufw或firewalld限制Tomcat端口（如8080）仅允许本地或特定IP访问。
   • 示例（ufw）：sudo ufw allow from 127.0.0.1 to any port 8080。

4. 启用SSL/TLS加密

   • 生成证书并配置conf/server.xml中的SSL连接器，禁用明文HTTP（如将redirectPort指向443）。

5. 关闭危险功能

   • 禁用AJP协议（若无需使用），注释conf/server.xml中的AJP Connector配置。
   • 禁止目录列表显示，设置conf/web.xml中listings参数为false。

6. 日志与监控

   • 启用访问日志记录，定期审查异常访问记录。
   • 配置入侵检测系统（IDS）监控Tomcat服务。

7. 系统级安全加固

   • 禁用不必要的系统服务，限制Tomcat进程的资源占用（如通过ulimit）。
   • 定期更新Tomcat至最新版本，修复已知漏洞。

参考来源：[1,2,3,4,5,6,7,8,9,10,11]