创建专用用户和用户组
sudo groupadd tomcat # 创建tomcat用户组
sudo useradd -r -m -U -d /opt/tomcat -s /bin/false tomcat # 创建系统用户,属组为tomcat,家目录为/opt/tomcat,禁止登录
设置目录权限
/opt/tomcat
)所有者设为tomcat
,权限设为755
(所有者可读写执行,其他用户可读执行)。sudo chown -R tomcat:tomcat /opt/tomcat
sudo chmod -R 755 /opt/tomcat
conf
目录权限设为644
,仅所有者可读写。sudo chmod -R 644 /opt/tomcat/conf/*
logs
、work
、temp
目录权限设为775
,所有者可读写执行,组用户可读写。sudo chmod -R 775 /opt/tomcat/logs /opt/tomcat/work /opt/tomcat/temp
配置服务运行用户
编辑/etc/systemd/system/tomcat.service
(或/lib/systemd/system/tomcat.service
),指定User
和Group
为tomcat
。
[Service]
User=tomcat
Group=tomcat
安全加固(可选)
tomcat-users.xml
配置仅允许特定用户访问管理页面。conf/server.xml
中配置RemoteAddrValve
限制IP。注意:权限设置需平衡安全性与功能性,避免过度限制导致服务异常。