对于任何降权的操作都是为了更好的保护自己的服务器免受危害,所以我们使用Tomcat也不了外,也需要进行降权操作。因为当 Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。

如果黑客或不法分子,利用系统漏洞或缺陷攻入Tomcat,就会获得最高权限,从而破坏网站的正常运行。。

下面简单描述降权启动的操作步骤:

1.添加普通用户和组

[root@mysql-db01 ~]# id mao       ##查看普通用户是否存在

uid=(mao) gid=(mao) groups=(mao)

[root@mysql-db01 ~]# useradd mao

useradd: user 'mao' already exists

[root@mysql-db01 ~]# groupadd  maohome     ##添加组

[root@mysql-db01 ~]# usermod -g maohome mao    ##将普通用户加入组中

[root@mysql-db01 ~]# id mao

uid=(mao) gid=(maohome) groups=(maohome)

[root@mysql-db01 ~]#

此处之所以添加组是因为便于一个组内的开发,运维,部门经理等不同的角色来管理或运行Tomcat。。

2.测试root用户下Tomcat能正常启动

[root@mysql-db01 application]# /data/tomcat/bin/startup.sh

Using CATALINA_BASE:   /data/tomcat

Using CATALINA_HOME:   /data/tomcat

Using CATALINA_TMPDIR: /data/tomcat/temp

Using JRE_HOME:        /application/jdk1..0_60/jre

Using CLASSPATH:       /data/tomcat/bin/bootstrap.jar:/data/tomcat/bin/tomcat-juli.jar

Tomcat started.

[root@mysql-db01 application]# ps -ef |grep java

root              : pts/    :: /application/jdk1..0_60/jre/bin/java -Djava.util.logging.config.file=/data/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/data/tomcat/endorsed -classpath /data/tomcat/bin/bootstrap.jar:/data/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/data/tomcat -Dcatalina.home=/data/tomcat -Djava.io.tmpdir=/data/tomcat/temp org.apache.catalina.startup.Bootstrap start

root           : pts/    :: grep java

[root@mysql-db01 application]#

从上面的ps-ef|grep java中可以看出Tomcat的主进程是以root身份来运行的,接下来我们要做的就是讲这个root换成普通用户。。因此,我们的思路就是建立一个普通用户,并

在普通用户运行Tomcat。 为了保险起见,我们先备份一份Tomcat站点目录,在其他目录下复制一份启动,防止操作失误。

3.复制站点目录---备份

[root@mysql-db01 application]# cp /data/tomcat/ /application/tomcat/

cp: omitting directory `/data/tomcat/'

[root@mysql-db01 application]# cp /data/tomcat/ /application/tomcat/ -a

[root@mysql-db01 application]# cd /application/tomcat

[root@mysql-db01 tomcat]# ls

.txt  bin  conf  data  lib  LICENSE  logs  NOTICE  RELEASE-NOTES  RUNNING.txt  temp  webapps  work

[root@mysql-db01 tomcat]#

4.授权普通用户和组拥有站点目录权限

[root@mysql-db01 tomcat]# pwd
/application/tomcat
[root@mysql-db01 tomcat]#

[root@mysql-db01 tomcat]# ll #查看站点目录下的属主和属组都为root

total

-rw-r--r--.  root root      Oct  : .txt

drwxr-xr-x.  root root   Oct  : bin

drwxr-xr-x.  root root   Oct  : conf

drwxr-xr-x.  root root   Oct  : data

drwxr-xr-x.  root root   Sep  : lib

-rw-r--r--.  root root  Sep    LICENSE

drwxrwxr-x.  root root   Nov   : logs

-rw-r--r--.  root root   Sep    NOTICE

-rw-r--r--.  root root   Sep    RELEASE-NOTES

-rw-r--r--.  root root  Sep    RUNNING.txt

drwxr-xr-x.  root root   Sep  : temp

drwxr-xr-x.  root root   Oct  : webapps

drwxr-xr-x.  root root   Sep  : work

[root@mysql-db01 tomcat]# chown mao.maohome /application/tomcat/* -R    ###修改站点目录的属主和属组为普通用户。使其对站点目录有权限写入,启动,停止等。

[root@mysql-db01 tomcat]# ll

total 116

-rw-r--r--. 1 mao maohome     0 Oct 13 03:03 1.txt

drwxr-xr-x. 2 mao maohome  4096 Oct 13 02:47 bin

drwxr-xr-x. 3 mao maohome  4096 Oct 13 06:42 conf

drwxr-xr-x. 2 mao maohome  4096 Oct 13 03:03 data

drwxr-xr-x. 2 mao maohome  4096 Sep 22 18:02 lib

-rw-r--r--. 1 mao maohome 57011 Sep 28  2015 LICENSE

drwxrwxr-x. 3 mao maohome  4096 Nov  6 16:22 logs

-rw-r--r--. 1 mao maohome  1444 Sep 28  2015 NOTICE

-rw-r--r--. 1 mao maohome  6741 Sep 28  2015 RELEASE-NOTES

-rw-r--r--. 1 mao maohome 16204 Sep 28  2015 RUNNING.txt

drwxr-xr-x. 2 mao maohome  4096 Sep 22 18:02 temp

drwxr-xr-x. 2 mao maohome  4096 Oct 13 06:23 webapps

drwxr-xr-x. 3 mao maohome  4096 Sep 22 18:35 work

[root@mysql-db01 tomcat]#

5.切换普通用户,启动Tomcat

[root@mysql-db01 ~]# su - mao
[mao@mysql-db01 ~]$ ps -ef |grep java
mao 35582 35562 0 19:15 pts/1 00:00:00 grep java

[mao@mysql-db01 ~]$ /application/tomcat/bin/startup.sh   ##启动Tomcat

Using CATALINA_BASE:   /application/tomcat

Using CATALINA_HOME:   /application/tomcat

Using CATALINA_TMPDIR: /application/tomcat/temp

Using JRE_HOME:        /application/jdk1..0_60/jre

Using CLASSPATH:       /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar

Tomcat started.

[mao@mysql-db01 ~]$ ps -ef |grep java   #查看Tomcat以普通用户运行了。

mao               : pts/    :: /application/jdk1..0_60/jre/bin/java -Djava.util.logging.config.file=/application/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/application/tomcat/endorsed -classpath /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/application/tomcat -Dcatalina.home=/application/tomcat -Djava.io.tmpdir=/application/tomcat/temp org.apache.catalina.startup.Bootstrap start

mao            : pts/    :: grep java

[mao@mysql-db01 ~]$

[mao@mysql-db01 conf]$ curl -I 10.0.0.51:8480
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=2E0CFB9A0B152A9F62894D66F592796C; Path=/; HttpOnly
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 17
Date: Mon, 06 Nov 2017 11:20:53 GMT

[mao@mysql-db01 conf]$

以上就是Tomcat降权启动的过程,如果这个用户是运维人员建立的账户,那么其他的开发人员没有这个权限来启动,停止,重启,或修改Tomcat。但是如果开发人员需要对Tomcat

进行操作,怎么办呢。

对于开发人员的权限比较小,我们刚开始建立的组就派上用场了。建立一个属于开发人员的普通用户,并将它加入组,然后给组设立想要的权限,一般给开发设立wr权限即可。

当然以上的建立普通用户和搜权普通用户和组都是在root权限下操作的。。

以上对于运维人员来说操作即可完成,如果开发需要相关权限,请继续往下操作,但是每个公司需求不同,权限不同,请酌情授权。。

6.给开发普通用户搜权

[mao@mysql-db01 conf]$ su -  #切换回root用户进行搜权

Password:

[root@mysql-db01 ~]# useradd kaifa -g maohome  ##建立属于开发的账户,并加入组

[root@mysql-db01 ~]# id kaifa

uid=(kaifa) gid=(maohome) groups=(maohome)

[root@mysql-db01 ~]# cd /application/tomcat/

[root@mysql-db01 tomcat]# ll

total

-rw-r--r--.  mao maohome      Oct  : .txt

drwxr-xr-x.  mao maohome   Oct  : bin

drwxr-xr-x.  mao maohome   Oct  : conf

drwxr-xr-x.  mao maohome   Oct  : data

drwxr-xr-x.  mao maohome   Sep  : lib

-rw-r--r--.  mao maohome  Sep    LICENSE

drwxrwxr-x.  mao maohome   Nov   : logs

-rw-r--r--.  mao maohome   Sep    NOTICE

-rw-r--r--.  mao maohome   Sep    RELEASE-NOTES

-rw-r--r--.  mao maohome  Sep    RUNNING.txt

drwxr-xr-x.  mao maohome   Sep  : temp

drwxr-xr-x.  mao maohome   Oct  : webapps

drwxr-xr-x.  mao maohome   Sep  : work

[root@mysql-db01 tomcat]# chmod g+w bin  data logs temp work    ##搜权组加上w权限。。

[root@mysql-db01 tomcat]# ll

total

-rw-r--r--.  mao maohome      Oct  : .txt

drwxrwxr-x.  mao maohome   Oct  : bin

drwxr-xr-x.  mao maohome   Oct  : conf

drwxrwxr-x.  mao maohome   Oct  : data

drwxr-xr-x.  mao maohome   Sep  : lib

-rw-r--r--.  mao maohome  Sep    LICENSE

drwxrwxr-x.  mao maohome   Nov   : logs

-rw-r--r--.  mao maohome   Sep    NOTICE

-rw-r--r--.  mao maohome   Sep    RELEASE-NOTES

-rw-r--r--.  mao maohome  Sep    RUNNING.txt

drwxrwxr-x.  mao maohome   Sep  : temp

drwxr-xr-x.  mao maohome   Oct  : webapps

drwxrwxr-x.  mao maohome   Sep  : work

[root@mysql-db01 tomcat]#

为什么只对以上目录授权,原因在于如果开发人员需要启动Tomcat时,需要写日志到logs目录中,需要有写权限;bin文件中放着Tomcat的启动,停止等相关的脚本,

tomcat有一个work目录,里面存放了页面的缓存,访问的jsp都会编译;temp目录用户存放tomcat在运行过程中产生的临时文件。(清空不会对tomcat运行带来影响)但是,千万不能删除该目录,要不然就会带来未知的错误,如登录界面的验证码出不来等问题。。

对于给开发人员授权,我们秉承着最小化的原则,如果不对Tomcat站点运行造成影响,尽量最小,安全最重要。。因为造成网站运行问题的一部分原因就是内部人员造成。

Tomcat降权启动的更多相关文章

  1. Nginx降权启动

            给Nginx服务降权,用lol用户跑Nginx,给开发及运维设置普通账号,只要和lol同组即可管理Nginx,该方案解决了Nginx管理问题,防止root分配权限过大. 开发人员使用普 ...

  2. C/C++ 进程代码注入与提权/降权

    如果将shellcode注入到具有特定权限的进程中,我们就可以获得与该进程相同的权限,此方法可以用于提权与降权操作,注入有多种方式,最简单的是直接将metasploit生成的有效载荷直接注入到目标进程 ...

  3. Eclipse 调试的时候Tomcat报错启动不了

    Eclipse 调试的时候Tomcat报错启动不了 1.把所有的断点删掉 2.清理工程 3.在Tomcat里面删除项目 4.删除Tomcat的配置,重新配置一下

  4. tomcat 7/8 启动非常慢的解决方法

    在日志中发现启动慢的地方: 2016-11-14 09:31:30.522 [localhost-startStop-1] INFO o.s.c.s.DefaultLifecycleProcessor ...

  5. 部署war包后,新增tomcat服务器,启动tomcat服务器报错解决方法

    导入Maven工程后,新增tomcat服务器,启动服务器后,报如下错误: 使用http访问页面的时候报如下错误: 经过百度后,有一种方法可以解决: 在eclipse tomcat无法启动,无法访问to ...

  6. ubuntu 14 中tomcat的开机启动设置

    开机自启动,将要执行的语句写入/etc/rc.local. #!/bin/sh -e # # rc.local # # This script is executed at the end of ea ...

  7. 免安装的tomcat双击startup.bat后,启动窗口一闪而过,而且tomcat服务未启动。

    免安装的tomcat双击startup.bat后,启动窗口一闪而过,而且tomcat服务未启动. 原因是:在启动tomcat是,需要读取环境变量和配置信息,缺少了这些信息,就不能登记环境变量,导致了t ...

  8. 【Tomcat】直接启动tomcat时为tomcat指定JDK 而不是读取环境变量中的配置

    在windows环境下以批处理文件方式启动tomcat,只要运行<CATALINA_HOME>/bin/startup.bat这个文件,就可以启动Tomcat.在启动时,startup.b ...

  9. Tomcat设置默认启动项目及Java Web工程设置默认启动页面

    Tomcat设置默认启动项目 Tomcat设置默认启动项目,顾名思义,就是让可以在浏览器的地址栏中输入ip:8080,就能访问到我们的项目.具体操作如下: 1.打开tomcat的安装根目录,找到Tom ...

随机推荐

  1. MVC发布网站

    首先Vs打开解决方案 在Global.asax中加入下列代码,否则会出现CSS JS失效 BundleTable.EnableOptimizations = false; 用户 'NT AUTHORI ...

  2. TeamFlowy——结合Teambition与Workflowy提高生产力

    Teambition是一个跨平台的团队协作和项目管理工具,相当于国外的Trello.使用Teambition可以像使用白板与便签纸一样来管理项目进度,如下图所示. Teambition虽然便于管理项目 ...

  3. MongoDB学习教程(3)-常用命令

    1.MongoDB 条件操作符 描述 条件操作符用于比较两个表达式并从mongoDB集合中获取数据. 在本章节中,我们将讨论如何在MongoDB中使用条件操作符. MongoDB中条件操作符有: (& ...

  4. Python接口自动化——soap协议传参的类型是ns0类型的要创建工厂方法纪要

    1:在Python接口自动化中,对于soap协议的xml的请求我们可以使用Suds Client来实现,其soap协议传参的类型基本上是有2种: 第一种是传参,不需要再创建啥, 第二种就是ns0类型的 ...

  5. Excel导出插件

    前言 一个游戏通常需要10多个Excel表格或者更多来配置,一般会通过导出csv格式读取配置. 本文提供导出Excel直接生成c#文件,对应数据直接生成结构体和数组,方便开发排错和简化重复写每个表格的 ...

  6. 将JavaScript转化为C#

    因为一个需求,不得不将JavaScript转化为C#. 其实有强大的 Node.js. 说说代码, 其实可以使用dynamic 来实现.但是dynamic有很多问题. 直接上代码吧,不是很难,就是很啰 ...

  7. 完整Log4Net配置信息

    <?xml version="1.0" encoding="utf-8" ?> <configuration> <configSe ...

  8. win10 uwp 打包第三方字体到应用

    有时候我们会把一些特殊字体打包到软件,因为如果找不到我们的字体会变为默认,现在很多字体图标我们用得好,有时候我们的应用会用很漂亮的字体,需要我们自己打包,因为用户一般是没有字体. UWP使用第三方字体 ...

  9. stringstream缓存正确清除方法

    当需要清空stringsteam缓存的时候,到底是.str("")呢还是.clear(); 实际上,我认为,保守起见,两者都需要 clear() 是清除 state flag st ...

  10. 使用 Prometheus + Grafana 对 Kubernetes 进行性能监控的实践

    1 什么是 Kubernetes? Kubernetes 是 Google 开源的容器集群管理系统,其管理操作包括部署,调度和节点集群间扩展等. 如下图所示为目前 Kubernetes 的架构图,由 ...