如何在CentOS系统上安装Tomcat？-HCRM博客

CentOS系统安装Tomcat服务器权威指南

在Linux服务器上部署Java Web应用，Apache Tomcat是久经考验的选择，作为网站站长，掌握在CentOS系统上专业、安全地安装和配置Tomcat，是保障服务稳定运行的基础,本指南将提供详尽的安装流程与关键配置要点。

核心准备：环境与依赖

系统更新：
```
sudo yum update -y
```
确保系统软件包处于最新状态,修补已知漏洞。
安装Java环境： Tomcat依赖Java,推荐安装OpenJDK：
```
sudo yum install java-11-openjdk-devel -y
```
验证安装：
```
java -version
javac -version
```
确认输出正确的JDK 11版本信息。
创建专用用户 (安全最佳实践)： 避免使用root用户运行Tomcat：
```
sudo groupadd tomcat
sudo useradd -s /bin/false -g tomcat -d /opt/tomcat tomcat
```
此命令创建了属于tomcat组的用户tomcat,且禁止登录shell。

Tomcat安装与部署

下载稳定版Tomcat： 访问Apache Tomcat官网获取最新稳定版二进制包链接，以Tomcat 9为例：
```
cd /tmp
wget https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.85/bin/apache-tomcat-9.0.85.tar.gz
```
重要提示： 务必从Apache官方镜像下载,确保文件完整性与安全性。

验证文件完整性： 下载对应的.sha512校验文件：

wget https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.85/bin/apache-tomcat-9.0.85.tar.gz.sha512

执行校验：

sha512sum -c apache-tomcat-9.0.85.tar.gz.sha512

输出OK表明文件未被篡改。

解压与部署： 创建安装目录并解压：

sudo mkdir -p /opt/tomcat
sudo tar xzvf apache-tomcat-9.0.85.tar.gz -C /opt/tomcat --strip-components=1

设置目录权限： 确保tomcat用户拥有必要权限：
```
cd /opt/tomcat
sudo chown -R tomcat:tomcat .
sudo chmod -R u+x ./bin
sudo chmod g+r conf/*
sudo chmod g+x conf
```
此操作精确控制权限：tomcat用户拥有所有文件，bin目录可执行，conf目录下文件可读。

关键配置与优化

配置服务文件 (systemd)： 创建服务文件/etc/systemd/system/tomcat.service：

[Unit]
Description=Apache Tomcat Web Application Container
After=syslog.target network.target
[Service]
Type=forking
User=tomcat
Group=tomcat
Environment="JAVA_HOME=/usr/lib/jvm/java-11-openjdk"
Environment="CATALINA_PID=/opt/tomcat/temp/tomcat.pid"
Environment="CATALINA_HOME=/opt/tomcat"
Environment="CATALINA_BASE=/opt/tomcat"
ExecStart=/opt/tomcat/bin/startup.sh
ExecStop=/opt/tomcat/bin/shutdown.sh
RestartSec=10
Restart=always
[Install]
WantedBy=multi-user.target

核心参数说明：

User/Group：指定运行用户,增强安全性。
JAVA_HOME：明确指向JDK安装路径,避免启动问题。
Restart=always：服务异常退出时自动重启,提高可用性。

加载服务配置并设置开机启动：

sudo systemctl daemon-reload
sudo systemctl enable tomcat

配置防火墙： 允许外部访问Tomcat默认端口（8080）：

sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload

验证安装与访问： 启动Tomcat服务：
```
sudo systemctl start tomcat
```
检查服务状态：
```
sudo systemctl status tomcat
```
在浏览器访问服务器IP地址和端口：http://<your_server_ip>:8080,成功将显示Tomcat默认欢迎页。
管理界面配置 (可选但建议加强安全)：
- 编辑/opt/tomcat/conf/tomcat-users.xml，在<tomcat-users>标签内添加管理员角色和用户：
```
<role rolename="manager-gui"/>
<role rolename="admin-gui"/>
<user username="your_secure_username" password="your_very_strong_password" roles="manager-gui,admin-gui"/>
```
- 重要安全限制： 默认只允许本地访问管理界面，如需远程管理（强烈建议通过VPN或堡垒机替代），需修改以下文件中的allow属性：
  - /opt/tomcat/webapps/manager/META-INF/context.xml
  - /opt/tomcat/webapps/host-manager/META-INF/context.xml 将127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1替换为你的可信IP地址或谨慎放宽规则，完成后重启Tomcat生效 (sudo systemctl restart tomcat)。

安全加固建议

禁用未使用应用： 删除webapps目录下自带的docs, examples等不需要的应用。
定期更新： 密切关注Tomcat和JDK的安全公告,及时应用补丁。
考虑反向代理： 在生产环境，使用Nginx或Apache HTTPD作为前端反向代理，处理SSL、静态文件、负载均衡,并隐藏Tomcat版本信息等细节。
日志监控： 定期检查/opt/tomcat/logs/catalina.out 和 localhost_access_log.*.txt 等日志文件。

观点在CentOS上部署Tomcat，遵循严谨的步骤和安全规范至关重要，使用专用用户、精确控制权限、配置健壮的systemd服务、严格管理访问控制，这些实践构成了稳定运行Java Web应用的基石，持续的更新维护与安全加固，是保障站点长期可靠服务的关键责任,Tomcat的灵活性使其成为众多关键业务系统的核心支撑。