GNU/Linux >> Linux Esercitazione >  >> Linux

best practice per l'autorizzazione di accesso agli utenti per apache tomcat

Lo faccio in questo modo:

Inseriamo l'utente tomcat come proprietario della cartella di tomcat:

# chown -R tomcat:tomcat /opt/tomcat

Gli utenti non possono modificare la configurazione di Tomcat:

# chmod -R g+r /opt/tomcat/conf

Gli utenti possono modificare le altre cartelle:

# chmod -R g+w /opt/tomcat/logs
# chmod -R g+w /opt/tomcat/temp
# chmod -R g+w /opt/tomcat/webapps
# chmod -R g+w /opt/tomcat/work

Attiva lo sticky-bit per i nuovi file mantieni i permessi definiti:

# chmod -R g+s /opt/tomcat/conf
# chmod -R g+s /opt/tomcat/logs
# chmod -R g+s /opt/tomcat/temp
# chmod -R g+s /opt/tomcat/webapps
# chmod -R g+s /opt/tomcat/work

Infine, aggiungiamo il gruppo Tomcat che vogliamo che gli utenti possano utilizzare Tomcat:

# usermod -a -G tomcat MYUSER

Il Non-Tomcat settings sezione dell'howto sulla sicurezza di Tomcat fornisce informazioni utili su questo argomento. Vedi qui:

  • Tomcat 7:https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html
  • Tomcat 8:https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html
  • Tomcat 9:https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html

Tomcat non dovrebbe essere eseguito con l'utente root. Creare un utente dedicato per il processo Tomcat e fornire a tale utente le autorizzazioni minime necessarie per il sistema operativo. Ad esempio, non dovrebbe essere possibile accedere in remoto utilizzando l'utente Tomcat.

Anche i permessi sui file dovrebbero essere opportunamente limitati. Prendendo come esempio le istanze Tomcat presso l'ASF (in cui la distribuzione automatica è disabilitata e le applicazioni Web vengono distribuite come directory esplose), la configurazione standard prevede che tutti i file Tomcat siano di proprietà di root con il gruppo Tomcat e mentre il proprietario ha letto /scrivi privilegi, il gruppo ha solo la lettura e il mondo non ha permessi. Le eccezioni sono i log, temp e la directory di lavoro che sono di proprietà dell'utente Tomcat piuttosto che di root . Ciò significa che anche se un utente malintenzionato compromette il processo Tomcat, non può modificare la configurazione di Tomcat, distribuire nuove applicazioni Web o modificare le applicazioni Web esistenti. Il processo Tomcat viene eseguito con un umask di 007 per mantenere queste autorizzazioni.


Linux

  1. DNF per gli utenti APT

  2. 7 consigli sulle best practice per la gestione dei team remoti

  3. Controllo dell'accesso a Podman senza root per gli utenti

  4. Tabella delle autorizzazioni per tipi di utenti di file/directory e file system

  5. Come bloccare l'accesso a un file dall'essere servito da Tomcat?

Le migliori distribuzioni Windows come Linux per i nuovi utenti Linux

Come installare Apache Tomcat 9 su CentOS 7

Come configurare Nginx come loadbalancer per Apache o Tomcat per HTTP/HTTPS

Le migliori app di calendario Linux:le 20 migliori recensioni per gli utenti Linux

Gli oltre 10 migliori motori di ricerca per utenti Linux

Notepad Next:il miglior sostituto di Notepad++ per utenti Linux