1. 創建專用Tomcat用戶和用戶組
為隔離Tomcat進程權限���,避免以root用戶運行��,需創建專用用戶和用戶組���。常用命令如下:
sudo groupadd tomcat
sudo useradd -r -d /opt/tomcat -s /sbin/nologin -g tomcat tomcat
其中��,-r表示系統用戶���,-s /sbin/nologin禁止用戶登錄����,-d指定用戶主目錄為Tomcat安裝路徑���,-g設置所屬組�。
2. 設置Tomcat安裝目錄所有權
將Tomcat安裝目錄(如/opt/tomcat)的所有者和組設為tomcat�,確保進程有權訪問:
sudo chown -R tomcat:tomcat /opt/tomcat
若安裝目錄為其他路徑(如/usr/local/tomcat)��,需替換為實際路徑����。
3. 配置目錄權限(按需分配)
根據目錄功能分配不同權限�����,平衡安全性與功能性:
- 全局可讀/執行(755):適用于
bin(啟動腳本)�、conf(配置文件)����、lib(庫文件)�、webapps(應用目錄)等不需要寫的目錄:sudo chmod -R 755 /opt/tomcat/bin /opt/tomcat/conf /opt/tomcat/lib /opt/tomcat/webapps
- 組可寫(775):適用于需要寫入的目錄(
logs記錄日志��、work臨時文件��、temp緩存):sudo chmod -R 775 /opt/tomcat/logs /opt/tomcat/work /opt/tomcat/temp
- 配置文件單獨設置(644):
conf目錄下的配置文件(如server.xml�����、web.xml)需嚴格限制為只讀�����,防止篡改:sudo chmod -R 644 /opt/tomcat/conf/*
若需組內用戶修改配置���,可調整為664��,但需謹慎����。
4. 配置Tomcat服務以專用用戶運行
通過Systemd服務文件確保Tomcat啟動時使用tomcat用戶:
- 編輯或創建服務文件(如
/etc/systemd/system/tomcat.service)�,添加以下內容:[Unit]
Description=Apache Tomcat Web Application Container
After=network.target
[Service]
Type=forking
Environment="JAVA_HOME=/usr/lib/jvm/java-11-openjdk-amd64"
Environment="CATALINA_PID=/opt/tomcat/temp/tomcat.pid"
Environment="CATALINA_HOME=/opt/tomcat"
Environment="CATALINA_BASE=/opt/tomcat"
ExecStart=/opt/tomcat/bin/startup.sh
ExecStop=/opt/tomcat/bin/shutdown.sh
User=tomcat
Group=tomcat
UMask=0007
RestartSec=10
Restart=always
[Install]
WantedBy=multi-user.target
- 重新加載Systemd并啟動服務:
sudo systemctl daemon-reload
sudo systemctl enable tomcat
sudo systemctl start tomcat
使用sudo systemctl status tomcat檢查服務狀態�。
5. 驗證權限配置
- 檢查Tomcat進程用戶:
ps -ef | grep tomcat
輸出應顯示進程所有者為tomcat�����。
- 測試目錄訪問:
切換至tomcat用戶�,嘗試訪問關鍵目錄(如logs寫入�、conf讀?。?pre class="hljs">sudo -u tomcat touch /opt/tomcat/logs/test.log
sudo -u tomcat cat /opt/tomcat/conf/server.xml
- 查看Tomcat日志:
若啟動失敗�,檢查/opt/tomcat/logs/catalina.out日志��,定位權限問題���。
6. 可選:安全加固配置
