Nuestros mejores desarrolladores han agotado sus provisiones de café, investigando noche y día por la respuesta, hasta que Alexis halló el resultado en Beanstalk y en este momento la comparte aquí.
Solución:
lo hago de esta manera:
Ponemos al usuario de tomcat como propietario de la carpeta de tomcat:
# chown -R tomcat:tomcat /opt/tomcat
Los usuarios pueden no modificar la configuración de tomcat:
# chmod -R g+r /opt/tomcat/conf
Los usuarios pueden modificar las otras carpetas:
# chmod -R g+w /opt/tomcat/logs
# chmod -R g+w /opt/tomcat/temp
# chmod -R g+w /opt/tomcat/webapps
# chmod -R g+w /opt/tomcat/work
Active el sticky-bit para nuevos archivos, mantenga los permisos definidos:
# chmod -R g+s /opt/tomcat/conf
# chmod -R g+s /opt/tomcat/logs
# chmod -R g+s /opt/tomcat/temp
# chmod -R g+s /opt/tomcat/webapps
# chmod -R g+s /opt/tomcat/work
Finalmente, agregamos el grupo de tomcat que queremos usuarios que puedan usar el tomcat:
# usermod -a -G tomcat MYUSER
los Non-Tomcat settings La sección de procedimientos de seguridad de Tomcat proporciona información útil sobre este tema. Mira aquí:
- Tomcat 7: https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html
- Tomcat 8: https://tomcat.apache.org/tomcat-8.0-doc/security-howto.html
- Tomcat 9: https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html
Tomcat no debe ejecutarse con el usuario raíz. Cree un usuario dedicado para el proceso de Tomcat y proporcione a ese usuario los permisos mínimos necesarios para el sistema operativo. Por ejemplo, no debería ser posible iniciar sesión de forma remota con el usuario de Tomcat.
Los permisos de archivo también deben estar adecuadamente restringidos. Tomando las instancias de Tomcat en ASF como ejemplo (donde la implementación automática está deshabilitada y las aplicaciones web se implementan como directorios ampliados), la configuración estándar es que todos los archivos de Tomcat sean propiedad de root con el grupo Tomcat y, mientras que el propietario tiene privilegios de lectura/escritura, el grupo solo tiene permisos de lectura y el mundo no tiene permisos. Las excepciones son los directorios de registros, temporales y de trabajo que son propiedad del usuario de Tomcat en lugar de root.. Esto significa que incluso si un atacante compromete el proceso de Tomcat, no puede cambiar la configuración de Tomcat, implementar nuevas aplicaciones web ni modificar las aplicaciones web existentes. El proceso de Tomcat se ejecuta con una umask de 007 para mantener estos permisos.
Acuérdate de que puedes optar por la opción de valorar esta división si te fue de ayuda.