береженого кольт бережет
береженого кольт бережет

Установка Tomcat 10 на RedOS / CentOS

Начнем с того что такое RedOS.

РЕД ОС — операционная система на базе ядра Linux, являющаяся составным продуктом, построенным на базе решений с открытым исходным кодом и собственных разработок. Занесена в Единый реестр российских программ. Сертифицирован в системе сертификации ФСТЭК России на соответствие требованиям профиля защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ.

Краткая характеристика:

  • РЕД ОС — это дистрибутив Linux на основе пакетной базы формата RPM;
  • функционирует на аппаратных платформах x86, x86_64, ARM серверов и рабочих станций, доступных на рынке средств вычислительной техники;
  • предоставляет универсальную доверенную среду для использования прикладного программного обеспечения, включающую большое количество сервисов и приложений;
  • содержит преднастроенные конфигурации для каждой аппаратной архитектуры;
  • включает средства поддержки отечественной криптографии;
  • позволяет аутентификацию в системе по ключевой информации пользователя;
  • позволяет использовать электронную подпись при удалённом доступе к рабочему столу.

Компания «РЕД СОФТ» начала заниматься разработкой дистрибутивов GNU/Linux c 2012 года в рамках исполнения государственного контракта с ФССП России «Доработка, разработка, внедрение и сопровождение подсистем автоматизированной информационной системы Федеральной службы судебных приставов». В данном проекте был создан дистрибутив ГосЛинукс со встроенными средствами защиты информации несанкционированного доступа и поддержкой отечественной криптографии, базировавшийся на CentOS 6, что являлось требованием ФССП РФ. С 2013 года началось пилотное внедрение разработанной операционной системы в структурных подразделениях федеральной службы.

Большинство Российских компаний уже перешло на нее в рамках процесса по импорту замещению.

Установка на RedOS ничем не отличается от установки на другие ОС семейства RHEL.

Tomcat — это открытая реализация технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket.

В этом руководстве рассматриваются шаги, необходимые для установки Tomcat 10.0.21 в RedOS 7.

Пользователь, в который вы входите, должен иметь права sudo для установки пакетов.

УСТАНОВИТЬ OPENJDK 

Tomcat 10 требует Java SE 8 или более поздней версии. Мы установим OpenJDK, реализацию платформы Java с открытым исходным кодом, которая является разработкой Java по умолчанию и средой выполнения в RedOS 7.

Установите Java , введя следующую команду:

sudo yum install java-1.8.0-openjdk-devel

СОЗДАТЬ СИСТЕМНОГО ПОЛЬЗОВАТЕЛЯ TOMCAT 

Запуск Tomcat от имени пользователя root является угрозой безопасности и не считается лучшей практикой.

Мы создадим нового системного пользователя и группу с домашним каталогом, /opt/tomcat который будет запускать службу Tomcat:

sudo useradd -m -U -d /opt/tomcat -s /bin/false tomcat

СКАЧАТЬ TOMCAT 

Мы загрузим последнюю версию Tomcat 10.0.x со страницы загрузок Tomcat 

На момент написания последней стабильной версии Tomcat является 10.0.21. Прежде чем перейти к следующему шагу, вы должны проверить страницу загрузки Tomcat 10, чтобы узнать, доступна ли более новая версия.

Перейдите в /tmp каталог и загрузите tar-файл Tomcat, используя следующую команду wget :

cd /tmp
wget https://dlcdn.apache.org/tomcat/tomcat-10/v10.0.21/bin/apache-tomcat-10.0.21.tar.gz

Когда загрузка будет завершена, распакуйте файл tar:

tar -xf apache-tomcat-10.0.21.tar.gz

Переместите исходные файлы Tomcat в этот /opt/tomcat каталог:

sudo mv apache-tomcat-10.0.21 /opt/tomcat/

Tomcat часто обновляется. Чтобы иметь больше контроля над версиями и обновлениями, создайте символическую ссылку с именем latest, которая указывает на каталог установки Tomcat:

sudo ln -s /opt/tomcat/apache-tomcat-10.0.21 /opt/tomcat/latest

Пользователь tomcat, который мы предварительно настроили, должен иметь доступ к каталогу установки tomcat.

Выполните следующую команду, чтобы изменить владельца каталога на пользователя и группу tomcat:

sudo chown -R tomcat: /opt/tomcat

Сделайте сценарии внутри bin каталога исполняемыми, выполнив следующую chmod команду:

sudo sh -c 'chmod +x /opt/tomcat/latest/bin/*.sh'

СОЗДАЙТЕ ФАЙЛ СИСТЕМНОГО МОДУЛЯ

Чтобы запустить Tomcat как службу, откройте текстовый редактор и создайте tomcat.service файл модуля в /etc/systemd/system/ каталоге:

sudo nano /etc/systemd/system/tomcat.service

Вставьте следующий контент:

/etc/systemd/system/tomcat.service

[Unit]
Description=Tomcat 10 servlet container
After=network.target

[Service]
Type=forking

User=tomcat
Group=tomcat

Environment="JAVA_HOME=/usr/lib/jvm/jre"
Environment="JAVA_OPTS=-Djava.security.egd=file:///dev/urandom"

Environment="CATALINA_BASE=/opt/tomcat/latest"
Environment="CATALINA_HOME=/opt/tomcat/latest"
Environment="CATALINA_PID=/opt/tomcat/latest/temp/tomcat.pid"
Environment="CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC"

ExecStart=/opt/tomcat/latest/bin/startup.sh
ExecStop=/opt/tomcat/latest/bin/shutdown.sh

[Install]
WantedBy=multi-user.target

Сохраните и закройте файл.

Сообщите systemd, что мы создали новый файл модуля, набрав:

sudo systemctl daemon-reload

Включите и запустите службу Tomcat:

sudo systemctl enable tomcat
sudo systemctl start tomcat

Проверьте статус службы с помощью следующей команды:

sudo systemctl status tomcat

НАСТРОЙТЕ БРАНДМАУЭР

Если ваш сервер защищен брандмауэром и вы хотите получить доступ к интерфейсу tomcat из-за пределов локальной сети, вам нужно открыть порт 8080.

Используйте следующие команды, чтобы открыть необходимый порт:

sudo firewall-cmd --zone=public --permanent --add-port=8080/tcp
sudo firewall-cmd --reload

В большинстве случаев при запуске Tomcat в производственной среде вы используете балансировщик нагрузки или обратный прокси-сервер . Рекомендуется разрешить доступ к порту 8080 только для вашей внутренней сети.

НАСТРОЙКА ИНТЕРФЕЙСА ВЕБ-МОРДЫ TOMCAT 

На этом этапе Tomcat установлен, и мы можем получить к нему доступ через веб-браузер через порт 8080, но мы не можем получить доступ к интерфейсу веб-управления, поскольку мы еще не создали пользователя.

Пользователи Tomcat и их роли определены в tomcat-users.xml файле.

Если вы откроете файл, вы заметите, что он заполнен комментариями и примерами, описывающими, как настроить файл.

sudo nano /opt/tomcat/latest/conf/tomcat-users.xml

Чтобы добавить нового пользователя, который сможет получить доступ к веб-интерфейсу tomcat (manager-gui и admin-gui), вам нужно определить пользователя в tomcat-users.xml файле, как показано ниже. Убедитесь, что вы изменили имя пользователя и пароль на что-то более безопасное:

/opt/tomcat/latest/conf/tomcat-users.xml

<tomcat-users>
<!--
    Comments
-->
   <role rolename="admin-gui"/>
   <role rolename="manager-gui"/>
   <user username="ADMIN" password="SMENI_MENAY" roles="admin-gui,manager-gui"/>
</tomcat-users>

По умолчанию интерфейс веб-управления Tomcat настроен на разрешение доступа только с локального узла. Если вы хотите иметь доступ к веб-интерфейсу с удаленного IP-адреса или из любого места, что не рекомендуется, поскольку это представляет угрозу безопасности, вы можете открыть следующие файлы и внести следующие изменения.

Если вам нужен доступ к веб-интерфейсу из любого места, откройте следующие файлы и прокомментируйте или удалите строки, выделенные красным цветом:

/opt/tomcat/latest/webapps/manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
<!--
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
-->
</Context>

/opt/tomcat/latest/webapps/host-manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
<!--
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />
-->
</Context>

Если вам нужно получить доступ к веб-интерфейсу только с определенного IP-адреса, вместо комментирования блоков добавьте ваш публичный IP-адрес в список. Допустим, ваш публичный IP есть, 80.80.80.80 и вы хотите разрешить доступ только с этого IP:

/opt/tomcat/latest/webapps/manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|80.80.80.80" />
</Context>

/opt/tomcat/latest/webapps/host-manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|80.80.80.80" />
</Context>

Список разрешенных IP-адресов представляет собой список, разделенный вертикальной чертой |. Вы можете добавить отдельные IP-адреса или использовать регулярные выражения.

Перезапустите службу Tomcat, чтобы изменения вступили в силу:

sudo systemctl restart tomcat

ПРОВЕРЬТЕ УСТАНОВКУ 

Откройте браузер и введите: http://<your_domain_or_IP_address>:8080

После успешной установки должен появиться экран:

Панель управления диспетчера веб-приложений Tomcat доступна по адресу http://<your_domain_or_IP_address>:8080/manager/html. Отсюда вы можете развертывать, отменять развертывание, запускать, останавливать и перезагружать свои приложения.

Панель управления менеджера виртуальных хостов Tomcat доступна по адресу http://<your_domain_or_IP_address>:8080/host-manager/html. Отсюда вы можете создавать, удалять и управлять виртуальными хостами Tomcat.