Debian 和 Tomcat,为什么要创建专用用户?

Debian 和 Tomcat,为什么要创建专用用户?

我试图在 Wheezy 上安装 tomcat 7

查看了几份指南,我注意到几乎所有指南都建议创建一个专用用户......为什么?

我也想问,因为我已经通过存储库安装了 tomcat 7,而且我看我已经有一个适合它的用户,我猜也许是 tomcat 安装本身创建的

cat /etc/passwd
tomcat7:x:103:106::/usr/share/tomcat7:/bin/false

所以我的问题是,我是否需要为我的 tomcat 创建一个(额外的)用户?

root@j51391:~# /usr/share/tomcat7/bin/version.sh 
Using CATALINA_BASE:   /usr/share/tomcat7
Using CATALINA_HOME:   /usr/share/tomcat7
Using CATALINA_TMPDIR: /usr/share/tomcat7/temp
Using JRE_HOME:        /usr/lib/jvm/java-7-oracle
Using CLASSPATH:       /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar
Server version: Apache Tomcat/7.0.28
Server built:   Dec 8 2012 06:51:43
Server number:  7.0.28.0
OS Name:        Linux
OS Version:     3.10.13-x86_64-jb1
Architecture:   amd64
JVM Version:    1.7.0_45-b18
JVM Vendor:     Oracle Corporation

答案1

为某些服务创建专用帐户是一种很好的做法,特别是当它们可以通过互联网或任何不受信任的网络访问时。因此,如果有人利用 Tomcat 中的安全漏洞,也不会危及整个系统。(除非他设法提升权限,但那是另一回事)

来自 Tomcat 文档的安全注意事项部分:

Tomcat 不应在 root 用户下运行。为 Tomcat 进程创建专用用户,并为该用户提供操作系统所需的最低权限。例如,不应使用 Tomcat 用户进行远程登录。

就您而言,似乎包安装程序已经负责创建专用用户。

相关内容