Tomcat在Debian上的權限設置要點

1. 創建專用用戶和組
   使用非root用戶運行Tomcat，降低安全風險：

   sudo groupadd tomcat  
   sudo useradd -m -U -d /opt/tomcat -s /bin/false tomcat  # 或使用 --system參數（Debian 10+）  
   

2. 設置目錄權限

   • 將Tomcat安裝目錄（如/opt/tomcat）所有權設為tomcat:tomcat，并限制權限：

     sudo chown -R tomcat:tomcat /opt/tomcat  
     sudo chmod -R 755 /opt/tomcat/bin/*.sh  # 腳本可執行  
     sudo chmod -R 750 /opt/tomcat/conf /opt/tomcat/logs  # 配置和日志僅允許所屬用戶訪問  
     

   • Debian系統默認路徑可能為/var/lib/tomcat*，需同步調整權限。

3. 配置systemd服務
   編輯/etc/systemd/system/tomcat.service，確保以tomcat用戶運行：

   [Service]  
   User=tomcat  
   Group=tomcat  
   Environment="CATALINA_HOME=/opt/tomcat"  
   ExecStart=/opt/tomcat/bin/startup.sh  
   ExecStop=/opt/tomcat/bin/shutdown.sh  
   

4. 管理Web界面權限
   編輯/opt/tomcat/conf/tomcat-users.xml，添加管理角色（如manager-gui）并重啟服務：

   <role rolename="manager-gui"/>  
   <user username="admin" password="密碼" roles="manager-gui"/>  
   

5. 防火墻與安全增強

   • 開放HTTP端口（默認8080）：

     sudo ufw allow 8080/tcp  
     

   • 可選：隱藏Tomcat版本號、禁用默認應用（如ROOT目錄）。

關鍵要點：通過專用用戶、最小權限原則和最小化開放端口，確保Tomcat在Debian上的安全運行。