Tomcat优化之安全配置

默认tomcat是root身份运行的,这样不安全,不要使用root用户启动tomcat。

Java程序与C程序不同,nginx,httpd 使用root用户启动守护80端口,子进程/线程会通过setuid(),setgid()两个函数切换到普通用户。即父进程所有者是root用户,子进程与多线程所有者是一个非root用户,这个用户没有shell,无法通过ssh与控制台登陆系统,Java 的JVM 是与系统无关的,是建立在OS之上的,你使用什么用户启动Tomcat,那么Tomcat 就会继承该所有者的权限。 为了防止 Tomcat 被植入 web shell 程序后,可以修改项目文件。因此我们要将 Tomcat 和项目的属主做分离,这样子,即便被搞,他也无法创建和编辑项目文件。 设置普通用户,用来启动tomcat

[root@localhost ~]# groupadd tomcat
[root@localhost ~]# useradd -g tomcat tomcat
[root@localhost ~]# passwd tomcat
[root@localhost ~]# chown tomcat.tomcat -R /usr/local/tomcat
[root@localhost ~]# su - tomcat /usr/local/tomcat/bin/startup.sh
[root@localhost ~]# echo 'su - tomcat -c "tomcat /usr/local/tomcat/bin/startup.sh"' >> /etc/rc.local  #开机启动

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java帮帮-微信公众号-技术文章全总结

05.Git分支管理

05.Git分支管理 Git 分支管理 几乎每一种版本控制系统都以某种形式支持分支。使用分支意味着你可以从开发主线上分离开来,然后在不影响主线的同时继续工作。...

39270
来自专栏安恒信息

【高危】漏洞预警 | Linux Systemd存在高危远程溢出漏洞(CVE-2017-9445)

systemd是Linux下的init软件,主要用于减少系统引导时间和计算开销。 systemd 的systemd-resolved服务用于处理DNS请求并为本...

34370
来自专栏北京马哥教育

原创投稿 | 如何实现nagios发送通知邮件

前言 上一篇已经介绍了nagios如何实现对主机及服务的监控,尽可能实现对系统运行状态的全面监控只是初级目标,nagios还可以借助smtp服务发送通知信息给指...

52060
来自专栏河湾欢儿的专栏

webpack

npm install webpack -g npm init -y npm install webpack --save-dev

12110
来自专栏深度学习之tensorflow实战篇

mongodb11天之屠龙宝刀(二)安装与配置 :MongoDB 与使用 IDE

mongodb11天之屠龙宝刀(二)安装与配置 :MongoDB 与使用 IDE System environments 原文连接:直通车 - windo...

37840
来自专栏IT可乐

Linux系列教程(二十四)——Linux的系统管理

  上篇博客介绍了Linux的服务管理,不管是以RPM包安装的服务,还是通过源码包安装的服务,万能启动服务的方法都可以通过 /绝对路径/启动脚本名 start ...

22260
来自专栏有趣的Python和你

Django学习(第五天:Django中的MTV模型)

8530
来自专栏Java架构师历程

maven介绍

1 如果使用了spring,去spring的官网下载jar包;如果使用hibernate,去hibernate的官网下载Jar包;如果使用Log4j,去log4...

56550
来自专栏Java后端生活

Linux(十四)网络配置

25750
来自专栏云计算教程系列

如何在FreeBSD 10.1上安装MongoDB

MongoDB是一个免费的开源NoSQL数据库。它是当今Web应用程序中最常用的数据库之一,因为它在数据库模式设计中提供了高性能,可伸缩性和大量灵活性。在本教程...

22200

扫码关注云+社区

领取腾讯云代金券