GNU/Linux >> Belajar Linux >  >> Linux

praktik terbaik untuk izin akses kepada pengguna untuk apache tomcat

Saya melakukannya dengan cara ini:

Kami menempatkan pengguna tomcat sebagai pemilik folder tomcat:

# chown -R tomcat:tomcat /opt/tomcat

Pengguna tidak bisa memodifikasi konfigurasi Tomcat:

# chmod -R g+r /opt/tomcat/conf

Pengguna dapat mengubah folder lain:

# chmod -R g+w /opt/tomcat/logs
# chmod -R g+w /opt/tomcat/temp
# chmod -R g+w /opt/tomcat/webapps
# chmod -R g+w /opt/tomcat/work

Aktifkan sticky-bit untuk file baru, tetap tentukan izin:

# chmod -R g+s /opt/tomcat/conf
# chmod -R g+s /opt/tomcat/logs
# chmod -R g+s /opt/tomcat/temp
# chmod -R g+s /opt/tomcat/webapps
# chmod -R g+s /opt/tomcat/work

Terakhir, kami menambahkan grup Tomcat yang kami inginkan pengguna yang dapat menggunakan Tomcat:

# usermod -a -G tomcat MYUSER

Non-Tomcat settings bagian keamanan Tomcat bagaimana menyediakan informasi yang berguna tentang topik ini. Lihat di sini:

  • Tomcat 7:https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html
  • Tomcat 8:https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html
  • Tomcat 9:https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html

Tomcat tidak boleh dijalankan di bawah pengguna root. Buat pengguna khusus untuk proses Tomcat dan berikan pengguna itu izin minimum yang diperlukan untuk sistem operasi. Misalnya, tidak mungkin untuk masuk dari jarak jauh menggunakan pengguna Tomcat.

Izin file juga harus dibatasi sesuai. Mengambil instance Tomcat di ASF sebagai contoh (di mana penerapan otomatis dinonaktifkan dan aplikasi web diterapkan sebagai direktori yang diledakkan), konfigurasi standarnya adalah memiliki semua file Tomcat yang dimiliki oleh root dengan grup Tomcat dan sementara pemilik telah membaca / menulis hak istimewa, grup hanya membaca dan dunia tidak memiliki izin. Pengecualian adalah log, temp, dan direktori kerja yang dimiliki oleh pengguna Tomcat, bukan root . Ini berarti bahwa meskipun penyerang mengkompromikan proses Tomcat, mereka tidak dapat mengubah konfigurasi Tomcat, menyebarkan aplikasi web baru, atau memodifikasi aplikasi web yang sudah ada. Proses Tomcat berjalan dengan umask 007 untuk mempertahankan izin ini.


Linux

  1. 7 kiat praktik terbaik untuk mengelola tim jarak jauh

  2. Tabel Izin untuk Jenis Pengguna File/Direktori Dan Sistem File

  3. Apa praktik terbaik untuk komunikasi antara instans Amazon EC2?

  1. DNF untuk pengguna APT

  2. Mengontrol akses ke Podman tanpa root untuk pengguna

  3. Cara terbaik untuk mem-sandbox Apache di Linux

  1. 12 Contoh Perintah IP untuk Pengguna Linux

  2. Distribusi Terbaik untuk Gaming di Linux

  3. Bagaimana cara memblokir akses ke file agar tidak dilayani oleh Tomcat?