Debian 上 Tomcat 安全配置清单
一 运行身份与最小权限
- 创建专用系统用户运行 Tomcat,禁止登录 shell,避免使用 root:sudo groupadd tomcat && sudo useradd -s /bin/false -g tomcat -d /var/lib/tomcat9 tomcat。随后将关键目录属主设为 tomcat:tomcat:sudo chown -R tomcat:tomcat /var/lib/tomcat9 /var/log/tomcat9 /etc/tomcat9;可执行脚本权限收敛为 750。若使用包管理安装的 tomcat9,可通过 systemd 服务或 /etc/default/tomcat9 将运行用户设为 tomcat,确保进程以最小权限运行。
二 最小化攻击面
- 删除或禁用默认示例与文档应用:rm -rf /var/lib/tomcat9/webapps/{docs,examples};生产环境建议直接移除管理应用:rm -rf /var/lib/tomcat9/webapps/{manager,host-manager}(或重命名禁用)。修改默认端口,避免暴露 8080:在 /etc/tomcat9/server.xml 中将 HTTP Connector 改为如 1234,并保留 redirectPort=8443。禁用不必要的连接器,尤其是 AJP/1.3(很多场景无需 AJP,直接注释或删除对应 Connector)。隐藏版本信息:在 server.xml 的 Connector 上设置 server=“YourServerName”,降低指纹暴露;必要时进一步处理 ServerInfo.properties 以彻底隐藏版本。以上措施可显著降低被自动化扫描与利用的风险。
三 加密传输与访问控制
- 启用 HTTPS/TLS:在 server.xml 配置 8443 端口的 SSL Connector,使用有效证书(生产推荐 Let’s Encrypt)。示例关键参数:SSLEnabled=“true”、scheme=“https”、secure=“true”、clientAuth=“false”(如需双向认证改为 true)、keystoreFile 与 keystorePass 指向你的密钥库。对外仅开放必要端口,并用防火墙限制来源 IP(示例:ufw allow from 192.0.2.0/24 to any port 1234,8443);如无需公网管理,建议仅内网开放或完全禁用管理应用。配置完成后重启 Tomcat 生效。
四 认证授权与日志审计
- 强化管理认证:若保留管理应用,务必在 /etc/tomcat9/tomcat-users.xml 中仅授予最小必要角色(如 manager-gui),并使用高强度随机密码;切勿使用默认账户与弱口令。启用账户锁定策略降低暴力破解风险:在 Engine/Host 下配置 LockOutRealm 包装 UserDatabaseRealm。审计与监控:定期查看 catalina.out、访问日志与 localhost_access_log,部署 logwatch 等日志分析工具,及时发现异常访问与错误激增。保持组件更新:sudo apt update && sudo apt upgrade tomcat9,及时修补安全漏洞。
五 推荐 server.xml 关键片段示例
- 仅保留 HTTP 与 HTTPS 连接器,禁用 AJP;隐藏版本;开启访问日志与错误抑制。
<Connector port="1234" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443"
server="YourServerName"/>
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true"
scheme="https" secure="true" clientAuth="false"
sslProtocol="TLS"
keystoreFile="/etc/ssl/tomcat/keystore.jks"
keystorePass="ChangeMe"/>
<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="false">
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b"/>
<Valve className="org.apache.catalina.valves.ErrorReportValve"
showReport="false" showServerInfo="false"/>
</Host>
- 提示:修改配置后执行 sudo systemctl restart tomcat9 使配置生效。