一、Tomcat用户账号与密码的安全配置与管理

在企业级Java应用部署中，Apache Tomcat作为轻量级Web容器被广泛使用。随着安全合规要求的提升，如何安全地配置和管理用户账号与权限成为系统管理员必须掌握的核心技能。

1. 基础配置：tomcat-users.xml 中的用户与角色设置

Tomcat 的用户认证主要通过 conf/tomcat-users.xml 文件进行配置。该文件定义了用户、密码及对应的角色（roles），用于控制对 Manager App、Host Manager 等管理界面的访问。

<?xml version="1.0" encoding="UTF-8"?>
<tomcat-users xmlns="http://tomcat.apache.org/xml"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
              version="1.0">
    <role rolename="manager-gui"/>
    <role rolename="admin-gui"/>
    <user username="admin" password="securePass123!" roles="manager-gui,admin-gui"/>
</tomcat-users>

• manager-gui：允许访问应用管理界面（/manager/html）
• admin-gui：允许访问虚拟主机管理界面（/host-manager/html）
• 多个角色用逗号分隔

默认情况下，Tomcat 不启用任何管理用户，需手动添加并重启服务生效。

2. 密码安全：避免明文存储的三种策略

直接在 tomcat-users.xml 中使用明文密码存在严重安全隐患。以下是提升密码安全性的进阶方案：

1. Digest 认证：使用 SHA 或 MD5 对密码进行摘要处理
2. JNDI Realm + 数据库加密存储：将用户信息存入数据库并加密
3. 自定义 Credential Handler：支持 PBKDF2、bcrypt 等现代哈希算法

<credentialHandler 
    className="org.apache.catalina.realm.SecretKeyCredentialHandler"
    algorithm="PBKDF2WithHmacSHA512"
    keyLength="256"
    iterations="10000"/>

配置后，使用 digest.sh 工具生成加密密码：

./digest.sh -a PBKDF2WithHmacSHA512 -i 10000 -s 16 "your_password"

3. 高级认证机制：集成 LDAP 与数据库认证

对于大型组织，集中式身份管理更为高效。Tomcat 支持多种 Realm 实现：

Realm 类型	适用场景	配置复杂度
JNDIRealm	LADP/Active Directory	中
DataSourceRealm	关系型数据库（MySQL/Oracle）	低
JAASRealm	Java Authentication and Authorization Service	高
MemoryRealm	仅限测试环境	低

以 JNDIRealm 集成 Active Directory 为例：

<Realm className="org.apache.catalina.realm.JNDIRealm"
       connectionURL="ldap://ad.example.com:389"
       userPattern="uid={0},ou=users,dc=example,dc=com"
       roleBase="ou=groups,dc=example,dc=com"
       roleName="cn"
       roleSearch="(uniqueMember={0})"/>

4. 细粒度访问控制：Manager 与 Host Manager 安全加固

Manager 和 Host Manager 是高危接口，需实施最小权限原则。可通过以下方式实现细粒度控制：

1. 限制 IP 访问范围（RemoteAddrValve）
2. 启用 HTTPS 强制加密传输
3. 基于角色分离职责（SoD）
4. 结合 Valve 实现双因素验证扩展

<Valve className="org.apache.catalina.valves.RemoteAddrValve"
       allow="192\.168\.1\.\d+|10\.0\.0\.5"/>

graph TD A[用户请求] --> B{是否来自可信IP?} B -- 否 --> C[拒绝访问] B -- 是 --> D{证书是否有效?} D -- 否 --> E[重定向至HTTPS] D -- 是 --> F{角色是否具备权限?} F -- 否 --> G[返回403 Forbidden] F -- 是 --> H[允许访问管理界面]

5. 安全最佳实践与运维建议

• 定期轮换管理账户密码（建议90天周期）
• 禁用默认账户如 "tomcat", "role1" 等
• 将 conf 目录权限设为 640，属主为 tomcat 用户
• 启用日志审计：localhost_access_log.*.txt
• 使用外部 WAF 或反向代理隐藏真实路径
• 关闭不必要的 Host Manager 功能（若仅需应用部署）
• 部署前运行 bin/shutdown.sh 清理临时文件
• 使用 Ansible/Puppet 实现配置自动化与版本控制
• 结合 Spring Security 实现应用层二次认证
• 定期执行渗透测试与漏洞扫描

通过组合使用上述技术手段，可构建纵深防御体系，显著降低未授权访问风险。