Java Tomcat安全配置指南

简介

Apache Tomcat 是一个广泛使用的开源Web服务器和Servlet容器。然而，如果不正确配置，Tomcat可能会受到各种安全威胁。本指南将详细介绍如何通过修改配置文件和采取其他安全措施来增强Tomcat的安全性。

详细步骤

1. 删除后台登录

在Tomcat安装目录下的/conf文件夹中，编辑tomcat-users.xml文件，删除带有<role rolename="manager-gui"/>和<user username="admin" password="password" roles="manager-gui"/>标签的内容块。删除后重启Tomcat。

2. 以Tomcat服务账户启动

将Tomcat安装目录及其下所有文件和文件夹的所有权和权限赋予 tomcat 用户，并将 bin 目录下的所有 .sh 文件赋予执行权限。具体命令如下：

sudo useradd -r -m -u -d /opt/tomcat -s /bin/false tomcat
sudo chown -r tomcat:tomcat /opt/tomcat
sudo chmod +x /opt/tomcat/bin/*.sh
sudo su - tomcat
cd /opt/tomcat/bin
./catalina.sh start

3. 禁用管理界面

在server.xml中注释掉以下几行（记得先备份）：

<!--
<listener classname="org.apache.catalina.startup.VersionLoggerListener" />
<listener classname="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
<listener classname="org.apache.catalina.core.JreMemoryLeakPreventionListener" />
<listener classname="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener" />
<listener classname="org.apache.catalina.core.ThreadLocalLeakPreventionListener" />
-->
<global-naming-resources>
    <resource name="userdatabase" auth="Container" type="org.apache.catalina.users.MemoryUserDatabaseFactory"
              pathname="conf/tomcat-users.xml" />
</global-naming-resources>
<service name="Catalina">
    <!--
    <realm className="org.apache.catalina.realm.LockOutRealm">
        <realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="userdatabase" />
    </realm>
    -->
</service>

同时，删除webapps目录下的manager和host-manager目录。

4. 隐藏版本信息

解压catalina.jar文件：

cd /path/to/tomcat/lib
jar xf catalina.jar
cd org/apache/catalina/util
vi ServerInfo.properties

删除ServerInfo.properties文件中的Server行，然后重新打包成catalina.jar：

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

重启Tomcat后，使用curl命令检查响应头中的Server字段是否已被修改。

5. 配置SSL/TLS

为了加密传输数据，可以配置Tomcat以使用SSL/TLS协议。首先需要生成证书和密钥文件，然后在server.xml中配置SSL/TLS连接器：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/path/to/your/keystore"
           keystorePass="yourKeystorePassword" />

6. 配置防火墙规则

在服务器层面，可以配置防火墙和安全组规则，限制对Tomcat服务的访问。例如，在Linux系统上可以使用iptables或ufw来配置防火墙规则。

7. 禁用不必要的服务和功能

• 删除webapps目录下的docs和examples文件夹，因为它们通常包含了关于Tomcat使用的文档和示例应用，对生产环境来说是多余的，并且可能存在安全风险。
• 禁用热部署和AJP端口（如果业务不使用）：

<Context path="/manager" docBase="${catalina.home}/webapps/manager"
           antiResourceLocking="false" privileged="true" />
<Context path="/host-manager" docBase="${catalina.home}/webapps/host-manager"
           antiResourceLocking="false" privileged="true" />

<!--
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
-->

8. 设置安全cookie

在conf/context.xml中新增以下内容：

<Context useHttpOnly="true">

9. 监控和日志记录

配置Tomcat的日志记录功能，监控Tomcat的运行状态和访问情况，及时发现异常行为。

总结

通过以上步骤，可以显著提高Tomcat的安全性，保护服务器和应用程序不受攻击。务必定期检查和更新配置，以应对新的安全威胁。