5月 3rd, 2025 
防止Debian上的Tomcat服务器被攻击需要采取一系列的安全措施。以下是一些关键的步骤和建议:
基础安全配置
-
更新系统和软件:确保Debian系统和Tomcat都是最新版本,以修复已知的安全漏洞。
sudo apt update sudo apt upgrade wget https://downloads.apache.org/tomcat/tomcat-9/v9.0.76/bin/apache-tomcat-9.0.76.tar.gz tar -zxvf apache-tomcat-9.0.76.tar.gz sudo mv apache-tomcat-9.0.76 /opt/tomcat -
创建Tomcat用户:使用低权限用户运行Tomcat,避免使用root用户。
sudo groupadd tomcat sudo useradd -s /bin/false -g tomcat -d /opt/tomcat tomcat -
配置Tomcat权限:设置适当的文件和目录权限,确保Tomcat用户只能访问其所需资源。
sudo chown -R tomcat:tomcat /opt/tomcat sudo chmod -R 750 /opt/tomcat -
删除默认页面和目录:删除
webapps目录下的docs和examples等默认示例和文档。rm -rf /opt/tomcat/webapps/docs rm -rf /opt/tomcat/webapps/examples -
修改默认端口号:更改Tomcat的默认HTTP端口,避免使用常见的端口如80和443。
<Connector port="1234" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"/> -
配置SSL/TLS:启用SSL/TLS以加密客户端和服务器之间的通信。
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"/> -
配置用户验证:在
tomcat-users.xml中添加管理用户,并设置复杂密码。<tomcat-users> <role rolename="manager-gui"/> <role rolename="admin-gui"/> <user username="admin" password="securePassword" roles="manager-gui,admin-gui"/> </tomcat-users>
高级安全配置
-
防火墙配置:使用
ufw限制访问Tomcat端口。sudo ufw allow 1234/tcp sudo ufw allow 8443/tcp sudo ufw enable -
禁用不必要的服务:关闭不必要的Tomcat服务和端口,减少潜在的攻击面。
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b"/> -
监控和日志审核:定期审查Tomcat的日志文件,监控任何异常活动或安全事件。
sudo tail -f /opt/tomcat/logs/catalina.out
定期维护
-
定期更新Tomcat:定期检查并更新Tomcat至最新版本,修复已知的安全漏洞。
wget https://downloads.apache.org/tomcat/tomcat-9/v9.0.76/bin/apache-tomcat-9.0.76.tar.gz tar -zxvf apache-tomcat-9.0.76.tar.gz sudo mv apache-tomcat-9.0.76 /opt/tomcat -
监控和调优:使用监控工具如JavaMelody或Lambda Probe监控Tomcat的性能和内存使用情况,并根据需要调整JVM参数和操作系统设置。
通过上述措施,可以显著提高Debian上Tomcat服务器的安全性。确保定期审查和更新配置,以应对新的安全威胁。
Posted in 
