如何以root用戶身份運行tomcat - 以及爲什麼tomcat會在自己的用戶下運行？

Question

美好的一天，

我嘗試配置Hippo cms（基於tomcat的應用程序）在我們自己的測試/開發服務器上運行。

我按照Hippo的手冊頁​​和我們的沙盒服務器，這是Ubuntu的，一切都可以像現在描述的那樣工作 - 非常棒！按照手冊，我將tomcat作爲cms用戶運行。該手冊規定在/ usr/local/tomcat下安裝tomcat，然後在/ opt/cms中創建一個新用戶，並在主目錄中創建「cms」，並在那裏創建第二個tomcat配置，在「tomcat」文件夾下運行和實例特定於Hippo cms的Tomcat。 Tomcat運行在/ opt/cms/tomcat目錄中。

現在，我們在dev中使用vargant，這是使用RedHat，並且所有進程都應該以root身份（公司規則）運行。我按照相同的手冊信，在/ usr/loca /中安裝tomcat，並按照手冊配置輔助tomcat在/ opt/cms/tomcat中運行，但這次我不創建新用戶 - 文件夾是擁有的由根。 在這兩種情況下，我都使用相同的/etc/init.d/cms腳本來啓動服務，但是在RHL上，tomcat從/ usr/local/tomcat啓動，並且它不會接收部署在/ opt/cms下的Hippo webapps/tomcat的。

我知道單打獨鬥很難診斷proble從這樣一個粗略的描述，但也許有人可以幫我用下面的奧祕：

1. 爲什麼總是建議在自己的用戶Tomcat的運行？
2. 如何配置tomcat在root用戶下運行，並知道什麼訣竅是使tomcat作爲root運行？

非常感謝， 內斯特

Answer 1

我將專注於您的問題的第二部分：

假設你是房東，你的房子出租的公寓。你是否把租房的人交給他們個人房間的鑰匙;還是你給每個人打開所有門的萬能鑰匙？

這就是爲什麼正常的政策是運行儘可能少的東西，因爲根。因爲根目錄可以在你的系統上做任何事情。換句話說：當有人設法突破tomcat ...那麼他已經擁有root權限。如果tomcat作爲一些非root用戶運行;入侵者仍然有更多的障礙要克服;即使他設法突破tomcat。

但我想你的公司政策作爲根運行的東西是關於內部發展沒有連接到互聯網？！其他任何事情都將是一個「奇怪」的政策。

如果您的第一個問題沒有得到很好的答案，我的推薦：河馬有它自己的forum;我非常確定，在那裏問你的問題有更高的機會接受有用的，技術上正確的答案。

Answer 2

1. 爲什麼總是建議在自己的用戶下運行tomcat？

由於安全最佳實踐，在該實例上運行的每個Web應用程序都可以訪問系統的每一部分和可以做的一切他們通緝。

最基本的安全漏洞可能讓一切運行rm -rf /。 想一想，然後問問自己，你是否真的想要＃2的答案？

如何Tomcat的配置下root用戶運行，知道的訣竅是什麼，就是讓Tomcat作爲root運行？

不要因爲＃1而嘗試這麼做。