GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Best Practice für Zugriffsberechtigungen für Benutzer für Apache Tomcat

Ich mache es so:

Wir setzen den Tomcat-Benutzer als Besitzer des Ordners von Tomcat:

# chown -R tomcat:tomcat /opt/tomcat

Benutzer können nicht Ändern Sie die Konfiguration von Tomcat:

# chmod -R g+r /opt/tomcat/conf

Benutzer können die anderen Ordner ändern:

# chmod -R g+w /opt/tomcat/logs
# chmod -R g+w /opt/tomcat/temp
# chmod -R g+w /opt/tomcat/webapps
# chmod -R g+w /opt/tomcat/work

Aktivieren Sie das Sticky-Bit für neue Dateien, behalten Sie die Berechtigungen bei:

# chmod -R g+s /opt/tomcat/conf
# chmod -R g+s /opt/tomcat/logs
# chmod -R g+s /opt/tomcat/temp
# chmod -R g+s /opt/tomcat/webapps
# chmod -R g+s /opt/tomcat/work

Schließlich fügen wir die Tomcat-Gruppe hinzu, die wir für Benutzer haben möchten, die Tomcat verwenden können:

# usermod -a -G tomcat MYUSER

Der Non-Tomcat settings Abschnitt von Tomcats Sicherheits-Howto enthält nützliche Informationen zu diesem Thema. Siehe hier:

  • Tomcat 7:https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html
  • Tomcat 8:https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html
  • Tomcat 9:https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html

Tomcat sollte nicht unter dem Root-Benutzer ausgeführt werden. Erstellen Sie einen dedizierten Benutzer für den Tomcat-Prozess und geben Sie diesem Benutzer die erforderlichen Mindestberechtigungen für das Betriebssystem. Beispielsweise sollte es nicht möglich sein, sich mit dem Tomcat-Benutzer aus der Ferne anzumelden.

Auch die Dateiberechtigungen sollten entsprechend eingeschränkt werden. Am Beispiel der Tomcat-Instanzen bei der ASF (wo die automatische Bereitstellung deaktiviert ist und Webanwendungen als aufgelöste Verzeichnisse bereitgestellt werden) ist die Standardkonfiguration, dass alle Tomcat-Dateien im Besitz von root mit der Gruppe Tomcat sind und während der Eigentümer gelesen hat /Schreibrechte, Gruppe hat nur Leserechte und Welt hat keine Rechte. Die Ausnahmen sind das Protokoll-, Temp- und Arbeitsverzeichnis, die dem Tomcat-Benutzer und nicht dem Root gehören . Das bedeutet, dass selbst wenn ein Angreifer den Tomcat-Prozess kompromittiert, er die Tomcat-Konfiguration nicht ändern, keine neuen Webanwendungen bereitstellen oder vorhandene Webanwendungen ändern kann. Der Tomcat-Prozess wird mit einer umask von 007 ausgeführt, um diese Berechtigungen beizubehalten.


Linux
  1. DNF für APT-Benutzer

  2. 7 Best-Practice-Tipps für die Verwaltung von Remote-Teams

  3. Steuerung des Zugriffs auf rootless Podman für Benutzer

  4. Berechtigungstabelle für Datei-/Verzeichnis- und Dateisystem-Benutzertypen

  5. Was ist Best Practice für die Kommunikation zwischen Amazon EC2-Instances?

Beste Windows-ähnliche Linux-Distributionen für neue Linux-Benutzer

So installieren Sie Apache Tomcat 9 auf CentOS 7

So richten Sie Nginx als Loadbalancer für Apache oder Tomcat für HTTP/HTTPS ein

Beste Linux-Kalender-Apps:Top 20 für Linux-Benutzer bewertet

Die 10+ besten Suchmaschinen für Linux-Benutzer

Notepad Next:Der beste Ersatz für Notepad++ für Linux-Benutzer