怎样确保Ubuntu Tomcat的安全性

1. 最小权限原则配置运行用户
创建专用低权限用户（如tomcat）和组，禁止以root身份运行Tomcat。通过useradd -r -s /bin/false -d /opt/tomcat -m tomcat创建系统用户，将Tomcat安装目录（如/opt/tomcat）所有权赋予该用户（chown -R tomcat:tomcat /opt/tomcat），并在Systemd服务文件（/etc/systemd/system/tomcat.service）中指定User=tomcat、Group=tomcat，确保Tomcat进程仅具备运行所需的最低权限。

2. 禁用不必要的组件与服务

• 移除默认自带的无用Web应用：删除webapps目录下的docs、examples、ROOT、host-manager、manager等文件夹，避免暴露敏感信息或潜在攻击面；
• 禁用AJP连接器：编辑server.xml，注释或删除<Connector protocol="AJP/1.3" ... />配置，防止通过AJP协议发起的攻击；
• 关闭自动部署：在server.xml中将autoDeploy和deployOnStartup属性设置为false，避免未经授权的应用自动部署。

3. 强化访问控制与认证

• 限制管理界面访问：通过server.xml的<Valve>标签限制管理界面的IP访问（如仅允许可信IP访问/manager和/host-manager），或在生产环境中直接删除manager和host-manager应用；
• 设置复杂密码：编辑tomcat-users.xml，为用户分配最小必要角色（如仅授予manager-gui而非manager-script），并使用强密码（包含大小写字母、数字和特殊字符）；
• 修改Shutdown端口：将server.xml中的<Server port="8005" ...>的端口修改为非默认值（如8006），并设置复杂密码，防止未经授权的关闭操作。

4. 配置SSL/TLS加密通信
使用OpenSSL或Keytool生成自签名证书（或申请CA签发证书），创建Java Keystore（keytool -genkeypair -alias tomcat -keyalg RSA -keystore /opt/tomcat/conf/keystore.jks）。编辑server.xml，添加或修改<Connector>配置以启用HTTPS（如port="8443"、protocol="org.apache.coyote.http11.Http11NioProtocol"、SSLEnabled="true"、keystoreFile="/opt/tomcat/conf/keystore.jks"、keystorePass="your_password"），强制客户端通过HTTPS访问，避免数据在传输过程中被窃取。

5. 定期更新与补丁管理
保持Tomcat（如升级至最新稳定版）和Ubuntu系统的最新状态，及时安装安全补丁。通过apt update && apt upgrade tomcat9（apt安装）或手动下载Tomcat二进制包替换旧版本，修复已知漏洞（如CVE-2025-24813等），降低被攻击的风险。

6. 日志审计与监控

• 配置详细的访问日志：在server.xml中启用AccessLogValve，设置日志格式为%h %l %u %t "%r" %s %b %D（记录客户端IP、请求时间、方法、URI、状态码、响应时间等），并定期审查日志（如使用tail -f /opt/tomcat/logs/access_log实时查看）；
• 设置日志文件权限：通过修改catalina.sh中的umask值为0022（umask 0022），确保新生成的日志文件权限为644（rw-r--r--），防止未授权用户修改或删除日志；
• 启用账户锁定机制：通过PAM模块或Tomcat安全管理器配置FailedLoginAttempts阈值（如连续5次失败锁定账户10分钟），防止暴力破解攻击。

7. 文件与目录权限加固
合理设置Tomcat目录权限，避免敏感信息泄露：

• conf目录（存放配置文件）：权限设为750（chmod 750 /opt/tomcat/conf），确保仅tomcat用户和组可读写；
• logs、temp、work目录：权限设为770（chmod 770 /opt/tomcat/logs /opt/tomcat/temp /opt/tomcat/work），允许组内用户写入；
• webapps目录：权限设为755（chmod 755 /opt/tomcat/webapps），禁止执行权限（如chmod -R -x /opt/tomcat/webapps），防止恶意脚本执行。

8. 防火墙与网络隔离
使用Ubuntu的UFW（Uncomplicated Firewall）限制访问Tomcat的端口（如8080、8443），仅允许可信IP地址访问：

• 允许8080端口：sudo ufw allow from 192.168.1.0/24 to any port 8080 proto tcp（替换为实际可信IP段）；
• 启用防火墙：sudo ufw enable；
• 关闭不必要的端口：如禁用SSH的默认22端口（若无需远程登录），或限制其访问范围。