最近收到阿里云通知,说我们部署的服务器在基线检查时存在安全隐患,具体描述如下
在运行Tomcat服务时,避免使用root用户运行,tomcat目录(catalina.home、 catalina.base目录)所有者应改为非root的运行用户
简而言之,就是不能用root用户来启动tomcat,root权限太高,这样授予了tomcat过高的权限,容易引发不可测的风险,那么只好开始修补。
首先,我们需要添加一个普通用户
root>useradd tomcat
密码自己设置下,不设置好像也过得去,然后就去启动tomcat,结果启动时碰到各种问题,需要先授权,假设我的tomcat目录为/home/tomcat8
目录授权>chown -R tomcat /home/tomcat8
目录授权>chown -R tomcat /home/tomcat8/work
授权完毕,信心满满去启动,结果还是不行,看了日志,原来80端口不是随便谁都能用的,网上查了一堆资料,选了对我来说最方便的,tomcat使用8080端口,然后在服务器做个端口转发
端口转发>iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
这里要记住,要确保你的服务器开通了80和8080端口,不然也访问不了,然后就能通过域名访问你的站点服务了