要防止Debian上的Apache Tomcat受到攻击，可以采取以下措施：

安全配置

• 更新系统：确保Debian系统是最新的，以修补已知的安全漏洞。
• 最小化安装：删除默认示例和文档，关闭未使用的协议（如AJP协议）。
• 禁用自动部署：在server.xml中设置autoDeploy="false"和deployOnStartup="false"，防止攻击者通过文件系统直接部署恶意应用。
• 权限与认证加固：
  • 修改默认密码，设置复杂密码并限制角色权限。
  • 避免使用高权限角色如manager-script、manager-jmx。
  • 限制管理界面访问，通过server.xml限制访问IP，或禁用管理界面（删除webapps目录下的manager和host-manager）。
  • 启用账户锁定机制，配置登录失败次数限制，防止暴力破解。
• 文件与目录权限：
  • 限制Tomcat运行权限，创建专用低权限用户运行Tomcat。
  • 隐藏Tomcat信息，如修改server.xml中的server属性为自定义字符串。
• 配置SSL/TLS：为Tomcat配置SSL证书，加密客户端和服务器之间的通信。
• 监控和日志审核：定期审查Tomcat的日志文件，监控任何异常活动或安全事件。

防火墙配置

• 使用ufw限制访问Tomcat端口，例如允许8080端口的流量：

  sudo ufw allow 8080
  

安全更新

• 定期更新Tomcat到最新版本，并及时应用安全补丁。
• 在升级Tomcat版本时，备份现有Tomcat配置和应用程序，以防升级过程中出现问题。

高级安全措施

• 禁用不必要的服务：关闭不必要的Tomcat服务和端口，减少潜在的攻击面。
• 使用强密码策略：确保所有账户都设置了复杂且独特的密码。
• 限制远程管理界面的访问：只允许特定IP地址或网络访问Tomcat管理界面。
• 启用SSL/TLS：使用SSL/TLS证书加密所有通信，防止中间人攻击。
• 定期安全审计：定期检查Tomcat配置和日志，寻找潜在的安全漏洞。

通过上述措施，可以显著提高Debian上Tomcat服务器的安全性。然而，安全是一个持续的过程，需要定期评估和调整安全策略以应对新出现的威胁。