Users

Debian 和 Tomcat,為什麼要創建專用使用者?

  • December 30, 2013

我試圖在 Wheezy 上安裝 tomcat 7

查看幾個指南,我注意到幾乎所有指南都建議創建一個專用使用者.. 為什麼?

我也在問,因為我已經通過儲存庫安裝了 tomcat 7,並且我看起來我已經有一個適合它的使用者,我想也許是 tomcat 安裝本身創建了它

cat /etc/passwd
tomcat7:x:103:106::/usr/share/tomcat7:/bin/false

所以我的問題是,我需要為我的 tomcat 創建一個(額外的)使用者嗎?

root@j51391:~# /usr/share/tomcat7/bin/version.sh 
Using CATALINA_BASE:   /usr/share/tomcat7
Using CATALINA_HOME:   /usr/share/tomcat7
Using CATALINA_TMPDIR: /usr/share/tomcat7/temp
Using JRE_HOME:        /usr/lib/jvm/java-7-oracle
Using CLASSPATH:       /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar
Server version: Apache Tomcat/7.0.28
Server built:   Dec 8 2012 06:51:43
Server number:  7.0.28.0
OS Name:        Linux
OS Version:     3.10.13-x86_64-jb1
Architecture:   amd64
JVM Version:    1.7.0_45-b18
JVM Vendor:     Oracle Corporation

為某些服務創建專用帳戶是一種很好的做法,特別是當它們可以通過 Internet 或任何不受信任的網路訪問時。因此,如果有人利用 Tomcat 中的安全漏洞,它不會危及整個系統。(除非他設法提升權限,但那是另一回事)

從 Tomcat 文件的安全注意事項部分:

Tomcat 不應該在 root 使用者下執行。為 Tomcat 程序創建一個專用使用者,並為該使用者提供作業系統所需的最低權限。例如,應該不可能使用 Tomcat 使用者遠端登錄。

在您的情況下,軟體包安裝程序似乎已經負責創建專用使用者。

引用自:https://serverfault.com/questions/563736