Absichern einer eigenständigen Linux Tomcat-Installation ohne Rootberechtigung

tag-icon tag-icon linux tomcat tomcat6
Absichern einer eigenständigen Linux Tomcat-Installation ohne Rootberechtigung

Ich möchte wissen, ob Sie Tipps haben, wie man die Sicherheit einer Nicht-Root-Installation von Tomcat im Standalone-Modus stärken kannsobald Tomcat bereits in einem Nicht-Root-Konto installiert ist, im Standalone-Modus.

Ich präzisiere dies, weil mich beispielsweise die hier gegebenen Antworten überhaupt nicht interessieren (weil sowohl Java als auch Tomcat zur Installation Root-Rechte erfordern und ich kein Interesse daran habe, jsvc auszuführen):

Welche Schritte muss ich unternehmen, um Tomcat 6.x zu sichern?

Folgendes habe ich bisher für meine eigenständige Tomcat 6-Installation ohne Rootberechtigung getan:

  • Laden Sie die JRE herunter und installieren Sie sie.Behälterbereitgestellt von Oracle/Sun (hier ist kein Root-Zugriff erforderlich) (Ein vollständiges JDK ist nicht mehr erforderlich, da Jasper [Tomcats JSP-Engine] ja nun über einen eigenen Compiler verfügt, oder?)

  • herunterladen undtar -xzfTomcat 6 (hier ist kein Root-Benutzer erforderlich)

  • transparente Portweiterleitung einrichten (hier muss Root sein)

Beachten Sie, dass meine Distribution eine Debian-Distribution ist und ich absolut kein Interesse daran habe, Debian-Pakete / Backports / was auch immer herunterzuladen ... Denn noch einmal, ichNICHTIch muss Root sein, um Java und Tomcat zu installieren. Ich musste nur Root sein, um die Firewall so zu konfigurieren, dass die Portweiterleitung 80 <--> 8080 und 443 <--> 8443 transparent erfolgt.

Anschließend habe ich alle Standard-Webanwendungen bis auf eine gelöscht:

cd ~/apache-tomcat-6.0.26/webapps
rm -rf docs
rm -rf examples/
rm -rf manager/ 
rm -rf ROOT/

Was ist mit dem Verzeichnis~/apache-tomcat-6.0.26/webapps/host-manager, brauche ich es oder kann ich es löschen?

Ich habe dann Folgendes kommentiert:

-->

Nachdem ich Tomcat Standalone in einem Nicht-Root-Konto installiert habe (und berücksichtigt habe, dass ich das Root-Passwort nicht mehr eingeben möchte und nicht vorhabe, den gesamten Apache-Kram zu installieren), was kann ich dann noch tun?

Gibt es andere Dinge, die ich deaktivieren kann? (wie?)

Antwort1

Wenn Sie keine der Funktionen des Host-Managers benötigen, können Sie ihn löschen.

Sie können den Inhalt sichern, indem Sie Tomcat so konfigurieren, dass es als anderer Benutzer ausgeführt wird als der, dem die Dateien gehören. Dieser Benutzer muss in der Lage sein, in das Protokollverzeichnis und das Arbeitsverzeichnis zu schreiben.

Antwort2

Sie könnten Tomcat hinter Apache stellen, dies würde die den Leuten zur Verfügung stehenden Webanwendungen einschränken.

verwandte Informationen