tomcat安全防護之普通用戶運行

威脅：

通常情況下，在配置Tomcat生產環境時，通常會配置Tomcat以特定的身份運行（非root），這樣有利于提高安全性，防止網站被黑后的進一步權限提升。

環境就不多說了↓

安裝jdk請參考：http://53cto.blog.51cto.com/9899631/1697368

安裝tomcat請參考：http://53cto.blog.51cto.com/9899631/1697386

1， 進入Tomcat安裝目錄下的bin目錄

cd /usr/local/apache-tomcat-8.0.30/bin

2，解壓commons-daemon-native.tar.gz

tar zxvf commons-daemon-native.tar.gz

cd commons-daemon-native/unix

3， 這里需要gcc、make等編譯工具，如果沒有指定JAVA_HOME環境變量，則需要 --with-java= 參數指定jdk目錄

./configure

make

4,   make后，會在當前文件夾下生成一個名為 jsvc 的文件，將其復制到$CATALINA_HOME/bin目錄

cp jsvc /usr/local/apache-tomcat-8.0.30/bin

 5,  添加一個程序用戶用來運行Tomcat

useradd -M -d / -s /usr/sbin/nologin tomcat

6，修改$CATALINA_HOME/bin目錄下的 daemon.sh 文件(如果已配置好jdk環境變量可以忽略此步驟)

設置其中的

TOMCAT_USER=tomcat
JAVA_HOME=/usr/java/jdk1.8.0_65

7, 如果$CATALINA_HOME/bin下的*.sh文件沒有運行權限，則為其添加運行權限

chmod +x *.sh

8 ,  設置$CATALINE_HOME文件夾及其所有子文件Owner為tomcat

chown -R tomcat:tomcat /usr/local/apache-tomcat-8.0.30

 9,  啟動Tomcat

daemon.sh start

[root@bogon bin]# ./daemon.sh -help
Unknown command: `-help'
Usage: daemon.sh ( commands ... )
commands:
  run               Start Tomcat without detaching from console
  start             Start Tomcat
  stop              Stop Tomcat
  version           What version of commons daemon and Tomcat
                    are you running?

10,  查看下是否以tomcat用戶啟動  

ps aux|grep tomcat