Saya melakukannya dengan cara ini:
Kami menempatkan pengguna tomcat sebagai pemilik folder tomcat:
# chown -R tomcat:tomcat /opt/tomcat
Pengguna tidak bisa memodifikasi konfigurasi Tomcat:
# chmod -R g+r /opt/tomcat/conf
Pengguna dapat mengubah folder lain:
# chmod -R g+w /opt/tomcat/logs
# chmod -R g+w /opt/tomcat/temp
# chmod -R g+w /opt/tomcat/webapps
# chmod -R g+w /opt/tomcat/work
Aktifkan sticky-bit untuk file baru, tetap tentukan izin:
# chmod -R g+s /opt/tomcat/conf
# chmod -R g+s /opt/tomcat/logs
# chmod -R g+s /opt/tomcat/temp
# chmod -R g+s /opt/tomcat/webapps
# chmod -R g+s /opt/tomcat/work
Terakhir, kami menambahkan grup Tomcat yang kami inginkan pengguna yang dapat menggunakan Tomcat:
# usermod -a -G tomcat MYUSER
Non-Tomcat settings
bagian keamanan Tomcat bagaimana menyediakan informasi yang berguna tentang topik ini. Lihat di sini:
- Tomcat 7:https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html
- Tomcat 8:https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html
- Tomcat 9:https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html
Tomcat tidak boleh dijalankan di bawah pengguna root. Buat pengguna khusus untuk proses Tomcat dan berikan pengguna itu izin minimum yang diperlukan untuk sistem operasi. Misalnya, tidak mungkin untuk masuk dari jarak jauh menggunakan pengguna Tomcat.
Izin file juga harus dibatasi sesuai. Mengambil instance Tomcat di ASF sebagai contoh (di mana penerapan otomatis dinonaktifkan dan aplikasi web diterapkan sebagai direktori yang diledakkan), konfigurasi standarnya adalah memiliki semua file Tomcat yang dimiliki oleh root dengan grup Tomcat dan sementara pemilik telah membaca / menulis hak istimewa, grup hanya membaca dan dunia tidak memiliki izin. Pengecualian adalah log, temp, dan direktori kerja yang dimiliki oleh pengguna Tomcat, bukan root . Ini berarti bahwa meskipun penyerang mengkompromikan proses Tomcat, mereka tidak dapat mengubah konfigurasi Tomcat, menyebarkan aplikasi web baru, atau memodifikasi aplikasi web yang sudah ada. Proses Tomcat berjalan dengan umask 007 untuk mempertahankan izin ini.