Linux 给新用户授予、设置Tomcat目录的使用权限

jrgf

　　本文目标：
　　基于安全考虑，将tomcat的使用权限赋给devnote组，新增的用户，只要设置到这个组中，即可以直接使用tomcat。这样一来可以防止用户误删系统或其他用户的文件；二来即使tomcat中的项目有漏洞遭到***，也不至于破坏系统。
　　设置方法：
　　一、Tomcat目录

• 　　创建用户devnote，并设置密码（默认连带创建devnote组）
  # /usr/sbin/useradd devnote　　
  # passwd devnote
  
• 　　将tomcat目录的属主用户设置为devnote，属组设置为devnote组
  # chown -R devnote.devnote /opt/tomcat
  
• 　　对组内用户开放tomcat下所有文件的可读权限，以免启动时报错。如，不能读取sever.xml文件
  # chmod g+r -R /opt/tomcat
  
• 　　对组内用户开放tomcat下webapps，logs，work，temp目录的可写权限
  # chmod g+w -R /opt/tomcat/webapps　　
  # chmod g+w -R /opt/tomcat/logs
  　　
  # chmod g+w -R /opt/tomcat/work
  　　
  # chmod g+w -R /opt/tomcat/temp
  
• 　　使用用户devnote登陆系统，启动tomcat，确保能正常启动，如果不成功，请查看tomcat下的 catalina.out，一般是相关的文件，没有权限，相应设置即可；
  
• 　　新建用户david，同时指定属组为devnote组，并设置密码
  # /usr/sbin/useradd -g devnote david　　
  # passwd david
  
• 　　使用用户david登陆系统，启动tomcat，成功。
  

　　二、其他相关目录
　　有时候在更新项目之前需要将线上运行的正常的项目备份，以便上线失败后迅速恢复。
　　假设我这里的备份目录为/mnt/backup，参照如上，不难得出设置方法
# chown -R devnote.devnote /mnt/backup　　
# chmod g+w -R /mnt/backup
　　三、为新用户增加sudo操作
　　一般情况，我们需要用普通用户执行只有管理员才能运行的命令，这样要比直接用管理员帐户安全些。
# vi /etc/sudoers　　在root的设置下新增一行，我这里是对组的设置。%标识devnote是组名。

http://www.devnote.cn/upload/image/2014/01/09/seF4vnbNvn.png

　　这样，用户devnote和david都有执行权限了，如：
　　设置前：
[david@devnote ~]$ more /etc/sudoers　　
/etc/sudoers: Permission denied
　　设置后：
[david@devnote ~]$ sudo more /etc/sudoers　　提示输入david的密码（非root密码）,即可。
　　当然，如果之前设置了tomcat开机自动启动，需要相应修改，可参见：
　　Linux 修改rc.local文件设置开机自动启动tomcat
　　相关说明：
　　在apache官网下载的tomcat gz包是有预置权限的，直接在linux下解压缩即可，如下图：

http://www.devnote.cn/upload/image/2014/01/09/8PXPlwx5l9.png

　　所以，基于如上配置，tomcat主用户对startup.sh这个文件有修改权限，而组内用户david则没有。