Я пытался установить tomcat 7 на Wheezy
Просматривая несколько руководств, я заметил, что почти все они предлагают создать отдельного пользователя. Зачем?
Я также спрашиваю об этом, потому что я установил tomcat 7 через репозиторий и увидел, что у меня уже есть подходящий для этого пользователь, я предполагаю, что, возможно, сама установка tomcat создала его.
cat /etc/passwd
tomcat7:x:103:106::/usr/share/tomcat7:/bin/false
Итак, мой вопрос: нужно ли мне создавать (дополнительного) пользователя для моего tomcat?
root@j51391:~# /usr/share/tomcat7/bin/version.sh
Using CATALINA_BASE: /usr/share/tomcat7
Using CATALINA_HOME: /usr/share/tomcat7
Using CATALINA_TMPDIR: /usr/share/tomcat7/temp
Using JRE_HOME: /usr/lib/jvm/java-7-oracle
Using CLASSPATH: /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar
Server version: Apache Tomcat/7.0.28
Server built: Dec 8 2012 06:51:43
Server number: 7.0.28.0
OS Name: Linux
OS Version: 3.10.13-x86_64-jb1
Architecture: amd64
JVM Version: 1.7.0_45-b18
JVM Vendor: Oracle Corporation
решение1
Хорошей практикой является создание выделенной учетной записи для некоторых служб, особенно когда они доступны через Интернет или любую ненадежную сеть. Так что если кто-то воспользуется уязвимостью безопасности в Tomcat, это не поставит под угрозу всю систему. (Если только ему не удастся повысить привилегии, но это уже другая история)
Из раздела «Вопросы безопасности» документации Tomcat:
Tomcat не должен запускаться под пользователем root. Создайте выделенного пользователя для процесса Tomcat и предоставьте этому пользователю минимально необходимые разрешения для операционной системы. Например, не должно быть возможности удаленного входа в систему с использованием пользователя Tomcat.
В вашем случае, похоже, установщик пакета уже позаботился о создании выделенного пользователя.