以下是在CentOS上保障Tomcat安全性的关键措施:
-
基础安全配置
- 删除
webapps目录默认应用,避免恶意代码部署。 - 隐藏Tomcat版本信息,修改
server.xml中server属性。 - 使用非root用户启动Tomcat,限制权限。
- 删除
-
访问控制与端口管理
- 修改默认端口(如8080→非标准端口),限制防火墙仅允许可信IP访问。
- 禁用AJP端口(设为-1)和自动部署(
autoDeploy="false")。 - 通过
web.xml限制管理界面访问,仅允许可信IP。
-
加密通信
- 启用SSL/TLS,配置
server.xml添加HTTPS连接器,使用有效证书。
- 启用SSL/TLS,配置
-
安全策略与权限管理
- 禁用目录列表(
listings="false"),防止敏感信息泄露。 - 配置安全管理器(
catalina.sh中添加-Djava.security.policy)限制应用权限。
- 禁用目录列表(
-
日志与监控
- 启用详细日志记录,定期审计异常活动。
-
系统级安全增强
- 定期更新Tomcat及依赖组件,修复漏洞。
- 使用
firewalld或iptables限制端口访问,关闭不必要的服务。
参考来源: