创建专用用户和用户组
sudo groupadd tomcat # 创建tomcat用户组
sudo useradd -r -m -U -d /opt/tomcat -s /bin/false tomcat # 创建系统用户,属组为tomcat,家目录为/opt/tomcat,禁止登录
设置目录权限
/opt/tomcat)所有者设为tomcat,权限设为755(所有者可读写执行,其他用户可读执行)。sudo chown -R tomcat:tomcat /opt/tomcat
sudo chmod -R 755 /opt/tomcat
conf目录权限设为644,仅所有者可读写。sudo chmod -R 644 /opt/tomcat/conf/*
logs、work、temp目录权限设为775,所有者可读写执行,组用户可读写。sudo chmod -R 775 /opt/tomcat/logs /opt/tomcat/work /opt/tomcat/temp
配置服务运行用户
编辑/etc/systemd/system/tomcat.service(或/lib/systemd/system/tomcat.service),指定User和Group为tomcat。
[Service]
User=tomcat
Group=tomcat
安全加固(可选)
tomcat-users.xml配置仅允许特定用户访问管理页面。conf/server.xml中配置RemoteAddrValve限制IP。注意:权限设置需平衡安全性与功能性,避免过度限制导致服务异常。