Ich habe versucht, Tomcat 7 auf Wheezy zu installieren
Beim Durchsehen mehrerer Anleitungen ist mir aufgefallen, dass in fast allen empfohlen wird, einen dedizierten Benutzer zu erstellen. Warum?
Ich frage auch, weil ich Tomcat 7 über das Repository installiert habe und ich sah, dass ich bereits einen dafür geeigneten Benutzer habe. Ich vermute, vielleicht hat die Tomcat-Installation selbst ihn erstellt
cat /etc/passwd
tomcat7:x:103:106::/usr/share/tomcat7:/bin/false
Meine Frage ist also, muss ich einen (zusätzlichen) Benutzer für meinen Tomcat erstellen?
root@j51391:~# /usr/share/tomcat7/bin/version.sh
Using CATALINA_BASE: /usr/share/tomcat7
Using CATALINA_HOME: /usr/share/tomcat7
Using CATALINA_TMPDIR: /usr/share/tomcat7/temp
Using JRE_HOME: /usr/lib/jvm/java-7-oracle
Using CLASSPATH: /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar
Server version: Apache Tomcat/7.0.28
Server built: Dec 8 2012 06:51:43
Server number: 7.0.28.0
OS Name: Linux
OS Version: 3.10.13-x86_64-jb1
Architecture: amd64
JVM Version: 1.7.0_45-b18
JVM Vendor: Oracle Corporation
Antwort1
Es empfiehlt sich, für einige Dienste ein eigenes Konto zu erstellen, insbesondere wenn diese über das Internet oder ein nicht vertrauenswürdiges Netzwerk zugänglich sind. Wenn also jemand eine Sicherheitslücke in Tomcat ausnutzt, gefährdet dies nicht das gesamte System. (Es sei denn, er schafft es, die Berechtigungen zu erhöhen, aber das ist eine andere Geschichte.)
Aus dem Abschnitt „Sicherheitsüberlegungen“ der Tomcat-Dokumentation:
Tomcat sollte nicht unter dem Root-Benutzer ausgeführt werden. Erstellen Sie einen dedizierten Benutzer für den Tomcat-Prozess und erteilen Sie diesem Benutzer die erforderlichen Mindestberechtigungen für das Betriebssystem. Beispielsweise sollte es nicht möglich sein, sich mit dem Tomcat-Benutzer remote anzumelden.
In Ihrem Fall scheint sich das Paketinstallationsprogramm bereits um die Erstellung des dedizierten Benutzers gekümmert zu haben.