引用自:http://yaoyan.me/2017/04/Tomcat-config1/

tomcat非配置项的策略问题,参考官方文档:Non-Tomcat setting

大意如下:

Tomcat配置不应该是唯一的防线。系统中的其他组件(操作系统、网络、数据库等)也应被保护。 Tomcat不应在root用户下运行。为Tomcat进程创建专用用户,并向用户提供操作系统的最小必要权限。例如,不可能使用Tomcat用户远程登录。 文件权限也应适当限制。以ASF的Tomcat实例为例(那里自动部署被禁用且Web应用程序使用目录部署),标准设置是所有的Tomcat文件为root所有,所属组为Tomcat组,同时所有者拥有读写权限,组只有读权限,其他用户没有任何权限。日志(logs)、临时目录(temp)和工作目录(work)例外,它们属于Tomcat用户而不是root。这意味着,即使攻击者攻陷了Tomcat进程,他们也不能改变Tomcat配置,部署新的Web应用程序或修改现有的Web应用程序。

据此,修改设置如下:

1. 为tomcat配置文件和应用发布设置专门用户

  1. 我们已决定使用tomcat用户来启动tomcat进程,那么按照官方的安全设置建议,我们需要为tomcat配置文件和tomcat应用发布创建专门的用户:
[root@test-140 /]# useradd -d /usr/users/tomcatconf  -g usr -m tomcatconf

[root@test-140 /]# useradd -d /usr/users/tomcatapp  -g usr -m tomcatapp

2. 变更相关文件的所属用户及权限

  1. 去掉tomcat文件的other用户所有的权限。

     	[tomcat@test-140 apache-tomcat-7.0.76]$ cd ..
    
 [tomcat@test-140 app]$ ll
    
 总用量 8748
    
 drwxr-xr-x. 9 tomcat usr     172 4月   3 11:30 apache-tomcat-7.0.76
    
 -rw-r--r--. 1 tomcat usr 8957288 3月   9 22:08 apache-tomcat-7.0.76.tar.gz
    
 [tomcat@test-140 app]$ chmod -R o-wrx apache-tomcat-7.0.76
    
 [tomcat@test-140 app]$ ll
    
 总用量 8748
    
 drwxr-x---. 9 tomcat usr     172 4月   3 11:30 apache-tomcat-7.0.76
    
 -rw-r--r--. 1 tomcat usr 8957288 3月   9 22:08 apache-tomcat-7.0.76.tar.gz

  2. 将tomcat下的 webapps 的用户修改为tomcatapp,所属组保持为usr,并确保组权限为可读可执行,不能写。

     [root@test-140 apache-tomcat-7.0.76]# chown -R  tomcatapp:usr webapps
    
 [root@test-140 apache-tomcat-7.0.76]# chmod -R  g-w webapps/
    
 [root@test-140 apache-tomcat-7.0.76]# chmod -R  g+rx webapps/

  3. 将tomcat下其他目录,bin、conf、lib的用户修改为tomcatconf,所属组保持为usr,并确保组权限为可读可执行,不能写。

     [root@test-140 apache-tomcat-7.0.76]# chown -R  tomcatconf:usr  bin  conf  lib
    
 [root@test-140 apache-tomcat-7.0.76]# chmod -R  g-w   bin conf  lib
    
 [root@test-140 apache-tomcat-7.0.76]# chmod -R  g+rx   bin conf  lib

tomcat里目录权限变为:

[root@test-140 apache-tomcat-7.0.76]# ll

总用量 96

drwxr-x---. 2 tomcatconf usr  4096 4月   3 11:02 bin

drwxr-x---. 3 tomcatconf usr   174 4月   3 10:57 conf

drwxr-x---. 2 tomcatconf usr  4096 4月   3 10:13 lib

-rw-r-----. 1 tomcat     usr 56846 3月   9 21:50 LICENSE

drwxr-x---. 2 tomcat     usr     6 4月   3 10:55 logs

-rw-r-----. 1 tomcat     usr  1239 3月   9 21:50 NOTICE

-rw-r-----. 1 tomcat     usr  8965 3月   9 21:50 RELEASE-NOTES

-rw-r-----. 1 tomcat     usr 16195 3月   9 21:50 RUNNING.txt

drwxr-x---. 2 tomcat     usr    30 4月   3 10:13 temp

-rw-r-----. 1 tomcat     usr     0 4月   3 11:30 test

drwxr-x---. 7 tomcatapp  usr    81 3月   9 21:49 webapps

drwxr-x---. 3 tomcat     usr    22 4月   3 10:14 work

此时,除了运行时需要写入的temp、work、logs目录外,其他目录tomcat用户均无法写入,tomcat用户无法再修改conf里的配置文件、bin里的启动脚本、webapps里的应用程序,此时再使用tomcat用户启动tomcat进程。

3. 设置tomcat主目录权限,使新建的同组用户能进入操作

因为tomcat部署在相关用户的主目录中,而CentOS的用户主目录默认只有本用户可以进入,所以,使用tomcatapp、tomcatconf登陆时,无法进入tomcat部署目录,无法进行配置修改和应用发布。

[tomcatapp@test-140 users]$ ll

总用量 0

drwx------.  6 tomcat     usr 155 4月   3 11:55 tomcat

drwx------.  5 tomcatapp  usr 107 4月   3 12:05 tomcatapp

drwx------.  3 tomcatconf usr  78 4月   3 10:04 tomcatconf

[tomcatapp@test-140 users]$ cd tomcat

-bash: cd: tomcat: 权限不够

[tomcatapp@test-140 users]$

需要tomcat用户主目录设置同组的读取和执行权限:

[root@test-140 users]# chmod g+rx tomcat

此时,tomcatapp、tomcatconf这些同组用户就可以进入tomcat的主目录进行相关操作:

[tomcatapp@test-140 users]$ ll

总用量 0

drwx------. 10 redis      usr 275 3月  19 23:47 redis

drwx------.  6 sw         usr 155 3月  19 18:20 sw

drwxr-x---.  6 tomcat     usr 155 4月   3 11:55 tomcat

drwx------.  5 tomcatapp  usr 107 4月   3 12:05 tomcatapp

drwx------.  3 tomcatconf usr  78 4月   3 10:04 tomcatconf

[tomcatapp@test-140 users]$ cd tomcat

[tomcatapp@test-140 tomcat]$ ll

总用量 0

drwxr-xr-x. 3 tomcat usr 69 4月   3 10:13 app

[tomcatapp@test-140 tomcat]$ cd app/apache-tomcat-7.0.76/webapps/

[tomcatapp@test-140 webapps]$ ll

总用量 8

drwxr-x---. 14 tomcatapp usr 4096 4月   3 10:13 docs

drwxr-x---.  7 tomcatapp usr  111 4月   3 10:13 examples

drwxr-x---.  5 tomcatapp usr   87 4月   3 10:13 host-manager

drwxr-x---.  5 tomcatapp usr  103 4月   3 10:13 manager

drwxr-x---.  3 tomcatapp usr 4096 4月   3 10:13 ROOT

[tomcatapp@test-140 webapps]$

这样就实现了tomcat 进程启动、配置管理、应用发布 权限分离,一定程度增加安全性。

tomcat非配置项的策略问题的更多相关文章

  1. 【出错记录】Tomcat非root用户启动无法拥有权限读写文件

    简单记录下,如有必要,将深入补充: 一.非root用户运行Tomcat及原因 由于项目中,为了安全需要,Tomcat将禁止以root形式启动,原因很简单,举个例子,一旦有人恶意将jsp文件透过某个别的 ...

  2. jenkins+svn+Ant+tomcat+非maven项目构建

    首先,输入项目名称,创建一个自由风格的项目; 然后,配置旧项目的策略参数,目的是防止构建项目太多,占用资源. 下一步,jdk版本选择: 下一步,关联svn项目. 下一步:配置ant 看不清,再来一张. ...

  3. Web系统与自控系统数据通讯架构 之 OPC DA DataChangeEventHandler 非热点数据更新策略 ,

    在使用OPC 采集 工控数据时,在DA模式下.采集数据通常用到 DataChangeEventHandler这个事件.但有时会遇到一些问题,就是当数据不变化时时不会触发 DataChange 这个事件 ...

  4. Tomcat非root身份运行制作Linux系统服务管理

    理论知识怱略,马上开始实战 一.首先准备好tomcat 启动.关闭.重启Shell脚本: 以下Shell脚本主要修改值 tomcatPath:tomcat目录 runUser:以哪个身份运行 此处测试 ...

  5. 企业级应用TOMCAT

    第1章 Tomcat 1.1 Tomcat简介 Tomcat是一个免开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不多的场合下被普遍使用,是开发调试JSP程序的首选,另 ...

  6. Spring Boot 学习系列(11)—tomcat参数配置建

    此文已由作者易国强授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 在SpringBoot项目中,使用的是内嵌的Tomcat容器,相关的配置项如下表: 除去和默认值相同的配置, ...

  7. eclipse中将web项目部署到tomcat

    eclipse中将web项目部署到tomcat. myeclipse部署WEB项目到tomcat比较方便,但eclipse貌似默认是不会替你将web自动部署到tomcat下的.你Run as该web项 ...

  8. Eclipse中web项目部署至Tomcat步骤

    Eclipse的web工程至Tomcat默认的部署目录是在工程空间下,本文旨在将部署目录改为Tomcat安装目录,并解决依赖包输出问题. 1.在Eclipse中添加Tomcat服务器. 2.将web工 ...

  9. Eclipse中web项目部署至Tomcat【转】

    Eclipse的web工程至Tomcat默认的部署目录是在工程空间下,本文旨在将部署目录改为Tomcat安装目录,并解决依赖包输出问题. 1.在Eclipse中添加Tomcat服务器.  2.将web ...

  10. Java初转型-Tomcat安装和配置

    1.http://www.cnblogs.com/diegodu/p/5915358.html tomcat直接解压,启动然后测试是否正常. 2.http://www.cnblogs.com/mq00 ...

随机推荐

  1. IntelliJ IDEA 生成serialVersionUID

    1.设置Settings-->Editor->Inspections 2.实现Serializble

  2. vue 在 v-for 时给每项元素绑定事件需要用事件代理吗?为什么?

    vue本身不做事件代理(react将所有事件都委托到document上,然后进行派发) 普通html元素和在组件上挂了.native修饰符的事件.最终EventTarget.addEventListe ...

  3. 数据库负载均衡 happroxy 中间器(Nginx)容器的安装与配置

    docker  镜像中安装haproxy 1.下载并安装haproxy镜像 docker pull happroxy # docker pull haproxy:1.7 2.查看镜像 docker i ...

  4. 实验 四 [bx]和loop的使用

    1. 综合使用 loop,[bx],编写完整汇编程序,实现向内存 b800:07b8 开始的连续 16 个 字单元重复填充字数据0403H. 代码  assume cs:code code segme ...

  5. luogu 1344

    首先题意就是裸的最小割啦 然后考虑如何统计边数 这里有一个trick: 我们设定一个大于$m$的阈值,对于每条边的边权我们乘这个阈值+1后跑最小割,得到的答案除以阈值就是真正的最小割,取模阈值后就是最 ...

  6. Flutter 新建项目

    一.打开VSCode,点击侧边栏扩展按钮,搜索flutter,安装Flutter和Dart 二.按command+shift+P,输入flutter,选择Flutter:New project,新建项 ...

  7. 添加新模块 import

    import getpass username = input("username") password = input("password") #passwo ...

  8. OPENSSL 生成RSA公钥、私钥和证书

    在命令窗口执行下列操作. 1)生成RSA私钥: openssl genrsa -out rsa_private_key.pem 2048 生成内容: -----BEGIN RSA PRIVATE KE ...

  9. c++ 构造名字不足的0补齐

    stringstream ss; ss << setfill('0') << setw(10) << i; vstrImageFilenames[i] = strP ...

  10. 在 Linux 上使用《算法》第4版官网中的 algs4.jar 包

    使用<算法>第4版( Algorithms Fourth Edition ) 中的 algs4.jar 包 下载 algs4.jar 官网网址: https://algs4.cs.prin ...