我试图在 Wheezy 上安装 tomcat 7
查看了几份指南,我注意到几乎所有指南都建议创建一个专用用户......为什么?
我也想问,因为我已经通过存储库安装了 tomcat 7,而且我看我已经有一个适合它的用户,我猜也许是 tomcat 安装本身创建的
cat /etc/passwd
tomcat7:x:103:106::/usr/share/tomcat7:/bin/false
所以我的问题是,我是否需要为我的 tomcat 创建一个(额外的)用户?
root@j51391:~# /usr/share/tomcat7/bin/version.sh
Using CATALINA_BASE: /usr/share/tomcat7
Using CATALINA_HOME: /usr/share/tomcat7
Using CATALINA_TMPDIR: /usr/share/tomcat7/temp
Using JRE_HOME: /usr/lib/jvm/java-7-oracle
Using CLASSPATH: /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar
Server version: Apache Tomcat/7.0.28
Server built: Dec 8 2012 06:51:43
Server number: 7.0.28.0
OS Name: Linux
OS Version: 3.10.13-x86_64-jb1
Architecture: amd64
JVM Version: 1.7.0_45-b18
JVM Vendor: Oracle Corporation
答案1
为某些服务创建专用帐户是一种很好的做法,特别是当它们可以通过互联网或任何不受信任的网络访问时。因此,如果有人利用 Tomcat 中的安全漏洞,也不会危及整个系统。(除非他设法提升权限,但那是另一回事)
来自 Tomcat 文档的安全注意事项部分:
Tomcat 不应在 root 用户下运行。为 Tomcat 进程创建专用用户,并为该用户提供操作系统所需的最低权限。例如,不应使用 Tomcat 用户进行远程登录。
就您而言,似乎包安装程序已经负责创建专用用户。