GNU/Linux >> Tutoriales Linux >  >> Linux

mejores prácticas para el permiso de acceso a los usuarios para apache tomcat

Lo hago de esta manera:

Ponemos al usuario de tomcat como propietario de la carpeta de tomcat:

# chown -R tomcat:tomcat /opt/tomcat

Los usuarios pueden no modificar la configuración de tomcat:

# chmod -R g+r /opt/tomcat/conf

Los usuarios pueden modificar las otras carpetas:

# chmod -R g+w /opt/tomcat/logs
# chmod -R g+w /opt/tomcat/temp
# chmod -R g+w /opt/tomcat/webapps
# chmod -R g+w /opt/tomcat/work

Active el sticky-bit para archivos nuevos, mantenga los permisos definidos:

# chmod -R g+s /opt/tomcat/conf
# chmod -R g+s /opt/tomcat/logs
# chmod -R g+s /opt/tomcat/temp
# chmod -R g+s /opt/tomcat/webapps
# chmod -R g+s /opt/tomcat/work

Finalmente, agregamos el grupo tomcat que queremos usuarios que puedan usar el tomcat:

# usermod -a -G tomcat MYUSER

El Non-Tomcat settings La sección de procedimientos de seguridad de Tomcat proporciona información útil sobre este tema. Ver aquí:

  • Tomcat 7:https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html
  • Tomcat 8:https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html
  • Tomcat 9:https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html

Tomcat no debe ejecutarse con el usuario raíz. Cree un usuario dedicado para el proceso de Tomcat y proporcione a ese usuario los permisos mínimos necesarios para el sistema operativo. Por ejemplo, no debería ser posible iniciar sesión de forma remota con el usuario de Tomcat.

Los permisos de archivo también deben estar adecuadamente restringidos. Tomando las instancias de Tomcat en ASF como ejemplo (donde la implementación automática está deshabilitada y las aplicaciones web se implementan como directorios ampliados), la configuración estándar es tener todos los archivos de Tomcat propiedad del root con el grupo Tomcat y mientras el propietario ha leído /privilegios de escritura, el grupo solo tiene permisos de lectura y el mundo no tiene permisos. Las excepciones son los directorios de registros, temporales y de trabajo que son propiedad del usuario de Tomcat en lugar de root . Esto significa que incluso si un atacante compromete el proceso de Tomcat, no puede cambiar la configuración de Tomcat, implementar nuevas aplicaciones web o modificar las aplicaciones web existentes. El proceso de Tomcat se ejecuta con una umask de 007 para mantener estos permisos.


Linux
  1. DNF para usuarios de APT

  2. 7 consejos de mejores prácticas para gestionar equipos remotos

  3. Controlar el acceso a Podman sin raíz para los usuarios

  4. ¿Cómo bloquear el acceso a un archivo para que no sea atendido por Tomcat?

  5. ¿Cuál es la mejor práctica para la comunicación entre instancias de Amazon EC2?

Las mejores distribuciones de Windows como Linux para nuevos usuarios de Linux

Cómo instalar Apache Tomcat 9 en CentOS 7

Cómo configurar Nginx como equilibrador de carga para Apache o Tomcat para HTTP/HTTPS

Las mejores aplicaciones de calendario de Linux:las 20 principales revisadas por usuarios de Linux

Los 10 mejores motores de búsqueda para usuarios de Linux

Notepad Next:el mejor sustituto de Notepad ++ para usuarios de Linux