Linux Tomcat日志安全策略探讨

Linux Tomcat日志安全策略

一 权限与访问控制

• 运行身份与目录归属：以专用的tomcat用户运行进程，统一归属日志目录（常见路径：/opt/tomcat/logs）。示例：sudo chown -R tomcat:tomcat /opt/tomcat && sudo chmod -R 755 /opt/tomcat/logs。日志文件建议权限640，目录755，仅允许属主写入、同组读取、其他无权限。
• 启动掩码控制：在catalina.sh中设置合适的UMASK（如0022或0027），确保新生成日志文件权限符合最小权限原则。
• 强制访问控制：启用SELinux或AppArmor，为Tomcat进程定义日志目录的访问规则，防止越权读取或篡改。
• 访问控制补充：通过文件系统权限与网络策略联动，限制对日志目录的本地与远程访问，仅授权运维与审计账户。

二 日志轮转与保留

• 访问日志轮转：在server.xml的AccessLogValve启用rotatable="true"，并通过fileDateFormat设置日期格式，避免单文件过大并便于归档。
• JUL日志轮转：在conf/logging.properties中配置java.util.logging.FileHandler的pattern、limit、count，实现按大小滚动与保留份数控制。
• 外部轮转工具：使用logrotate或cronolog对catalina.out等标准输出进行按日/按大小切割，统一压缩、归档与清理策略。
• 保留与清理：依据合规要求设置保留周期（如30–90天），对归档日志集中存储并做离线备份，过期自动删除。

三 日志内容与信息泄露防护

• 隐藏版本信息：修改ServerInfo.properties（位于catalina.jar内）以去除Server头与版本号，降低针对特定版本的攻击面。
• 日志级别与内容最小化：生产环境将多数日志级别设为WARNING/ERROR；仅在排障时临时提升为FINE/FINER，避免记录敏感数据（如请求体、凭据）。
• 访问日志与错误日志治理：保留关键access_log用于安全审计，避免记录敏感参数；自定义错误页面，防止堆栈与配置泄露。
• 传输安全：对日志传输与集中采集链路启用SSL/TLS，防止传输中被窃听或篡改。

四 集中化监控审计与告警

• 日志聚合分析：将catalina.out、localhost_access_log与JUL/log4j日志接入ELK Stack（Elasticsearch, Logstash, Kibana）或Splunk，实现统一检索、可视化与报表。
• 实时监控与告警：结合Prometheus + Grafana或日志平台告警规则，对异常访问（如大量404）、高频错误、可疑来源IP等进行实时通知与处置。
• 审计与合规：定期审计登录、权限变更、异常堆栈与越权访问等安全事件，形成留痕与追溯能力。

五 快速落地清单