我試圖在 Wheezy 上安裝 tomcat 7
看了幾個指南,我注意到幾乎所有指南都建議創建一個專用用戶..為什麼?
我還想問,因為我已經通過存儲庫安裝了 tomcat 7,並且我看起來已經有一個適合該用戶的用戶,我想也許是 tomcat 安裝本身創建了它
cat /etc/passwd
tomcat7:x:103:106::/usr/share/tomcat7:/bin/false
所以我的問題是,我是否需要為我的 tomcat 建立一個(附加)使用者?
root@j51391:~# /usr/share/tomcat7/bin/version.sh
Using CATALINA_BASE: /usr/share/tomcat7
Using CATALINA_HOME: /usr/share/tomcat7
Using CATALINA_TMPDIR: /usr/share/tomcat7/temp
Using JRE_HOME: /usr/lib/jvm/java-7-oracle
Using CLASSPATH: /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar
Server version: Apache Tomcat/7.0.28
Server built: Dec 8 2012 06:51:43
Server number: 7.0.28.0
OS Name: Linux
OS Version: 3.10.13-x86_64-jb1
Architecture: amd64
JVM Version: 1.7.0_45-b18
JVM Vendor: Oracle Corporation
答案1
為某些服務建立專用帳戶是一個很好的做法,特別是當它們可以透過網路或任何不受信任的網路存取時。因此,如果有人利用 Tomcat 中的安全漏洞,它不會危害整個系統。 (除非他設法提升權限,但那是另一回事了)
來自 Tomcat 文件的安全注意事項部分:
Tomcat 不應在 root 使用者下運作。為 Tomcat 程序建立專用用戶,並為該用戶提供作業系統所需的最低權限。例如,不應使用 Tomcat 使用者遠端登入。
在您的情況下,軟體包安裝程式似乎已經負責創建專用用戶。