Tomcat在Debian上的权限设置要点

1. 创建专用用户和组
   使用非root用户运行Tomcat，降低安全风险：

   sudo groupadd tomcat  
   sudo useradd -m -U -d /opt/tomcat -s /bin/false tomcat  # 或使用 --system参数（Debian 10+）  
   

2. 设置目录权限

   • 将Tomcat安装目录（如/opt/tomcat）所有权设为tomcat:tomcat，并限制权限：

     sudo chown -R tomcat:tomcat /opt/tomcat  
     sudo chmod -R 755 /opt/tomcat/bin/*.sh  # 脚本可执行  
     sudo chmod -R 750 /opt/tomcat/conf /opt/tomcat/logs  # 配置和日志仅允许所属用户访问  
     

   • Debian系统默认路径可能为/var/lib/tomcat*，需同步调整权限。

3. 配置systemd服务
   编辑/etc/systemd/system/tomcat.service，确保以tomcat用户运行：

   [Service]  
   User=tomcat  
   Group=tomcat  
   Environment="CATALINA_HOME=/opt/tomcat"  
   ExecStart=/opt/tomcat/bin/startup.sh  
   ExecStop=/opt/tomcat/bin/shutdown.sh  
   

4. 管理Web界面权限
   编辑/opt/tomcat/conf/tomcat-users.xml，添加管理角色（如manager-gui）并重启服务：

   <role rolename="manager-gui"/>  
   <user username="admin" password="密码" roles="manager-gui"/>  
   

5. 防火墙与安全增强

   • 开放HTTP端口（默认8080）：

     sudo ufw allow 8080/tcp  
     

   • 可选：隐藏Tomcat版本号、禁用默认应用（如ROOT目录）。

关键要点：通过专用用户、最小权限原则和最小化开放端口，确保Tomcat在Debian上的安全运行。