对于任何降权的操作都是为了更好的保护自己的服务器免受危害,所以我们使用Tomcat也不了外,也需要进行降权操作。因为当 Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。

如果黑客或不法分子,利用系统漏洞或缺陷攻入Tomcat,就会获得最高权限,从而破坏网站的正常运行。。

下面简单描述降权启动的操作步骤:

1.添加普通用户和组

[root@mysql-db01 ~]# id mao       ##查看普通用户是否存在

uid=(mao) gid=(mao) groups=(mao)

[root@mysql-db01 ~]# useradd mao

useradd: user 'mao' already exists

[root@mysql-db01 ~]# groupadd  maohome     ##添加组

[root@mysql-db01 ~]# usermod -g maohome mao    ##将普通用户加入组中

[root@mysql-db01 ~]# id mao

uid=(mao) gid=(maohome) groups=(maohome)

[root@mysql-db01 ~]#

此处之所以添加组是因为便于一个组内的开发,运维,部门经理等不同的角色来管理或运行Tomcat。。

2.测试root用户下Tomcat能正常启动

[root@mysql-db01 application]# /data/tomcat/bin/startup.sh

Using CATALINA_BASE:   /data/tomcat

Using CATALINA_HOME:   /data/tomcat

Using CATALINA_TMPDIR: /data/tomcat/temp

Using JRE_HOME:        /application/jdk1..0_60/jre

Using CLASSPATH:       /data/tomcat/bin/bootstrap.jar:/data/tomcat/bin/tomcat-juli.jar

Tomcat started.

[root@mysql-db01 application]# ps -ef |grep java

root              : pts/    :: /application/jdk1..0_60/jre/bin/java -Djava.util.logging.config.file=/data/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/data/tomcat/endorsed -classpath /data/tomcat/bin/bootstrap.jar:/data/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/data/tomcat -Dcatalina.home=/data/tomcat -Djava.io.tmpdir=/data/tomcat/temp org.apache.catalina.startup.Bootstrap start

root           : pts/    :: grep java

[root@mysql-db01 application]#

从上面的ps-ef|grep java中可以看出Tomcat的主进程是以root身份来运行的,接下来我们要做的就是讲这个root换成普通用户。。因此,我们的思路就是建立一个普通用户,并

在普通用户运行Tomcat。 为了保险起见,我们先备份一份Tomcat站点目录,在其他目录下复制一份启动,防止操作失误。

3.复制站点目录---备份

[root@mysql-db01 application]# cp /data/tomcat/ /application/tomcat/

cp: omitting directory `/data/tomcat/'

[root@mysql-db01 application]# cp /data/tomcat/ /application/tomcat/ -a

[root@mysql-db01 application]# cd /application/tomcat

[root@mysql-db01 tomcat]# ls

.txt  bin  conf  data  lib  LICENSE  logs  NOTICE  RELEASE-NOTES  RUNNING.txt  temp  webapps  work

[root@mysql-db01 tomcat]#

4.授权普通用户和组拥有站点目录权限

[root@mysql-db01 tomcat]# pwd
/application/tomcat
[root@mysql-db01 tomcat]#

[root@mysql-db01 tomcat]# ll #查看站点目录下的属主和属组都为root

total

-rw-r--r--.  root root      Oct  : .txt

drwxr-xr-x.  root root   Oct  : bin

drwxr-xr-x.  root root   Oct  : conf

drwxr-xr-x.  root root   Oct  : data

drwxr-xr-x.  root root   Sep  : lib

-rw-r--r--.  root root  Sep    LICENSE

drwxrwxr-x.  root root   Nov   : logs

-rw-r--r--.  root root   Sep    NOTICE

-rw-r--r--.  root root   Sep    RELEASE-NOTES

-rw-r--r--.  root root  Sep    RUNNING.txt

drwxr-xr-x.  root root   Sep  : temp

drwxr-xr-x.  root root   Oct  : webapps

drwxr-xr-x.  root root   Sep  : work

[root@mysql-db01 tomcat]# chown mao.maohome /application/tomcat/* -R    ###修改站点目录的属主和属组为普通用户。使其对站点目录有权限写入,启动,停止等。

[root@mysql-db01 tomcat]# ll

total 116

-rw-r--r--. 1 mao maohome     0 Oct 13 03:03 1.txt

drwxr-xr-x. 2 mao maohome  4096 Oct 13 02:47 bin

drwxr-xr-x. 3 mao maohome  4096 Oct 13 06:42 conf

drwxr-xr-x. 2 mao maohome  4096 Oct 13 03:03 data

drwxr-xr-x. 2 mao maohome  4096 Sep 22 18:02 lib

-rw-r--r--. 1 mao maohome 57011 Sep 28  2015 LICENSE

drwxrwxr-x. 3 mao maohome  4096 Nov  6 16:22 logs

-rw-r--r--. 1 mao maohome  1444 Sep 28  2015 NOTICE

-rw-r--r--. 1 mao maohome  6741 Sep 28  2015 RELEASE-NOTES

-rw-r--r--. 1 mao maohome 16204 Sep 28  2015 RUNNING.txt

drwxr-xr-x. 2 mao maohome  4096 Sep 22 18:02 temp

drwxr-xr-x. 2 mao maohome  4096 Oct 13 06:23 webapps

drwxr-xr-x. 3 mao maohome  4096 Sep 22 18:35 work

[root@mysql-db01 tomcat]#

5.切换普通用户,启动Tomcat

[root@mysql-db01 ~]# su - mao
[mao@mysql-db01 ~]$ ps -ef |grep java
mao 35582 35562 0 19:15 pts/1 00:00:00 grep java

[mao@mysql-db01 ~]$ /application/tomcat/bin/startup.sh   ##启动Tomcat

Using CATALINA_BASE:   /application/tomcat

Using CATALINA_HOME:   /application/tomcat

Using CATALINA_TMPDIR: /application/tomcat/temp

Using JRE_HOME:        /application/jdk1..0_60/jre

Using CLASSPATH:       /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar

Tomcat started.

[mao@mysql-db01 ~]$ ps -ef |grep java   #查看Tomcat以普通用户运行了。

mao               : pts/    :: /application/jdk1..0_60/jre/bin/java -Djava.util.logging.config.file=/application/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/application/tomcat/endorsed -classpath /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/application/tomcat -Dcatalina.home=/application/tomcat -Djava.io.tmpdir=/application/tomcat/temp org.apache.catalina.startup.Bootstrap start

mao            : pts/    :: grep java

[mao@mysql-db01 ~]$

[mao@mysql-db01 conf]$ curl -I 10.0.0.51:8480
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=2E0CFB9A0B152A9F62894D66F592796C; Path=/; HttpOnly
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 17
Date: Mon, 06 Nov 2017 11:20:53 GMT

[mao@mysql-db01 conf]$

以上就是Tomcat降权启动的过程,如果这个用户是运维人员建立的账户,那么其他的开发人员没有这个权限来启动,停止,重启,或修改Tomcat。但是如果开发人员需要对Tomcat

进行操作,怎么办呢。

对于开发人员的权限比较小,我们刚开始建立的组就派上用场了。建立一个属于开发人员的普通用户,并将它加入组,然后给组设立想要的权限,一般给开发设立wr权限即可。

当然以上的建立普通用户和搜权普通用户和组都是在root权限下操作的。。

以上对于运维人员来说操作即可完成,如果开发需要相关权限,请继续往下操作,但是每个公司需求不同,权限不同,请酌情授权。。

6.给开发普通用户搜权

[mao@mysql-db01 conf]$ su -  #切换回root用户进行搜权

Password:

[root@mysql-db01 ~]# useradd kaifa -g maohome  ##建立属于开发的账户,并加入组

[root@mysql-db01 ~]# id kaifa

uid=(kaifa) gid=(maohome) groups=(maohome)

[root@mysql-db01 ~]# cd /application/tomcat/

[root@mysql-db01 tomcat]# ll

total

-rw-r--r--.  mao maohome      Oct  : .txt

drwxr-xr-x.  mao maohome   Oct  : bin

drwxr-xr-x.  mao maohome   Oct  : conf

drwxr-xr-x.  mao maohome   Oct  : data

drwxr-xr-x.  mao maohome   Sep  : lib

-rw-r--r--.  mao maohome  Sep    LICENSE

drwxrwxr-x.  mao maohome   Nov   : logs

-rw-r--r--.  mao maohome   Sep    NOTICE

-rw-r--r--.  mao maohome   Sep    RELEASE-NOTES

-rw-r--r--.  mao maohome  Sep    RUNNING.txt

drwxr-xr-x.  mao maohome   Sep  : temp

drwxr-xr-x.  mao maohome   Oct  : webapps

drwxr-xr-x.  mao maohome   Sep  : work

[root@mysql-db01 tomcat]# chmod g+w bin  data logs temp work    ##搜权组加上w权限。。

[root@mysql-db01 tomcat]# ll

total

-rw-r--r--.  mao maohome      Oct  : .txt

drwxrwxr-x.  mao maohome   Oct  : bin

drwxr-xr-x.  mao maohome   Oct  : conf

drwxrwxr-x.  mao maohome   Oct  : data

drwxr-xr-x.  mao maohome   Sep  : lib

-rw-r--r--.  mao maohome  Sep    LICENSE

drwxrwxr-x.  mao maohome   Nov   : logs

-rw-r--r--.  mao maohome   Sep    NOTICE

-rw-r--r--.  mao maohome   Sep    RELEASE-NOTES

-rw-r--r--.  mao maohome  Sep    RUNNING.txt

drwxrwxr-x.  mao maohome   Sep  : temp

drwxr-xr-x.  mao maohome   Oct  : webapps

drwxrwxr-x.  mao maohome   Sep  : work

[root@mysql-db01 tomcat]#

为什么只对以上目录授权,原因在于如果开发人员需要启动Tomcat时,需要写日志到logs目录中,需要有写权限;bin文件中放着Tomcat的启动,停止等相关的脚本,

tomcat有一个work目录,里面存放了页面的缓存,访问的jsp都会编译;temp目录用户存放tomcat在运行过程中产生的临时文件。(清空不会对tomcat运行带来影响)但是,千万不能删除该目录,要不然就会带来未知的错误,如登录界面的验证码出不来等问题。。

对于给开发人员授权,我们秉承着最小化的原则,如果不对Tomcat站点运行造成影响,尽量最小,安全最重要。。因为造成网站运行问题的一部分原因就是内部人员造成。

Tomcat降权启动的更多相关文章

  1. Nginx降权启动

            给Nginx服务降权,用lol用户跑Nginx,给开发及运维设置普通账号,只要和lol同组即可管理Nginx,该方案解决了Nginx管理问题,防止root分配权限过大. 开发人员使用普 ...

  2. C/C++ 进程代码注入与提权/降权

    如果将shellcode注入到具有特定权限的进程中,我们就可以获得与该进程相同的权限,此方法可以用于提权与降权操作,注入有多种方式,最简单的是直接将metasploit生成的有效载荷直接注入到目标进程 ...

  3. Eclipse 调试的时候Tomcat报错启动不了

    Eclipse 调试的时候Tomcat报错启动不了 1.把所有的断点删掉 2.清理工程 3.在Tomcat里面删除项目 4.删除Tomcat的配置,重新配置一下

  4. tomcat 7/8 启动非常慢的解决方法

    在日志中发现启动慢的地方: 2016-11-14 09:31:30.522 [localhost-startStop-1] INFO o.s.c.s.DefaultLifecycleProcessor ...

  5. 部署war包后,新增tomcat服务器,启动tomcat服务器报错解决方法

    导入Maven工程后,新增tomcat服务器,启动服务器后,报如下错误: 使用http访问页面的时候报如下错误: 经过百度后,有一种方法可以解决: 在eclipse tomcat无法启动,无法访问to ...

  6. ubuntu 14 中tomcat的开机启动设置

    开机自启动,将要执行的语句写入/etc/rc.local. #!/bin/sh -e # # rc.local # # This script is executed at the end of ea ...

  7. 免安装的tomcat双击startup.bat后,启动窗口一闪而过,而且tomcat服务未启动。

    免安装的tomcat双击startup.bat后,启动窗口一闪而过,而且tomcat服务未启动. 原因是:在启动tomcat是,需要读取环境变量和配置信息,缺少了这些信息,就不能登记环境变量,导致了t ...

  8. 【Tomcat】直接启动tomcat时为tomcat指定JDK 而不是读取环境变量中的配置

    在windows环境下以批处理文件方式启动tomcat,只要运行<CATALINA_HOME>/bin/startup.bat这个文件,就可以启动Tomcat.在启动时,startup.b ...

  9. Tomcat设置默认启动项目及Java Web工程设置默认启动页面

    Tomcat设置默认启动项目 Tomcat设置默认启动项目,顾名思义,就是让可以在浏览器的地址栏中输入ip:8080,就能访问到我们的项目.具体操作如下: 1.打开tomcat的安装根目录,找到Tom ...

随机推荐

  1. Spring 学习——基于Spring WebSocket 和STOMP实现简单的聊天功能

    本篇主要讲解如何使用Spring websocket 和STOMP搭建一个简单的聊天功能项目,里面使用到的技术,如websocket和STOMP等会简单介绍,不会太深,如果对相关介绍不是很了解的,请自 ...

  2. JSP入门3 Servlet

    需要继承类HttpServlet 服务器在获得请求的时候会先根据jsp页面生成一个java文件,然后使用jdk的编译器将此文件编译,最后运行得到的class文件处理用户的请求返回响应.如果再有请求访问 ...

  3. Mysql的排他锁和共享锁

    今天看代码看到有select name from user where id = 1 for update,有点懵逼,完全没有见过,只能说自己见识少了,那就只能学习一下.先做一下基本知识了解(大部分都 ...

  4. 【重点突破】——Canvas技术绘制随机改变的验证码

    一.引言 本文主要是我在学习Canvas技术绘图时的一个小练习,绘制随机改变的验证码图片,虽然真正的项目里不这么做,但这个练习是一个掌握Canvas技术很好的综合练习.(真正的项目中验证码图片使用服务 ...

  5. 关于如何更好地使用Github的一些建议

    关于如何更好地使用Github的一些建议 原文(Github repository形式): https://github.com/Wasdns/github-example-repo 本文记录了我对于 ...

  6. hdu1760博弈SG

    A New Tetris Game Time Limit: 3000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others ...

  7. 决策树模型组合之随机森林与GBDT

    版权声明: 本文由LeftNotEasy发布于http://leftnoteasy.cnblogs.com, 本文可以被全部的转载或者部分使用,但请注明出处,如果有问题,请联系wheeleast@gm ...

  8. MyEclipse的JQuery.min.js报错红叉解决办法

    MyEclipse的JQuery.min.js报错红叉解决办法 1.选中报错的jquery文件"jquery-1.2.6.min.js".2.右键选择 MyEclipse--> ...

  9. 基于HTML5和WebGL的3D网络拓扑结构图

    现在,3D模型已经用于各种不同的领域.在医疗行业使用它们制作器官的精确模型:电影行业将它们用于活动的人物.物体以及现实电影:视频游戏产业将它们作为计算机与视频游戏中的资源:在科学领域将它们作为化合物的 ...

  10. SAP 参照sto订单创建外向交货BAPI

    DATA: SHIP_POINT TYPE TVST-VSTEL, "装运点/接收点 NUM_DELIVERIES TYPE VBNUM, STOCK_TRANS_ITEMS WITH HE ...