Linux 给新用户授予 设置Tomcat目录的使用权限

本文目标：

基于安全考虑，将tomcat的使用权限赋给devnote组，新增的用户，只要设置到这个组中，即可以直接使用tomcat。这样一来可以防止用户误删系统或其他用户的文件；二来即使tomcat中的项目有漏洞遭到攻击，也不至于破坏系统。

设置方法：

一、Tomcat目录

1. 创建用户devnote，并设置密码（默认连带创建devnote组）

   # /usr/sbin/useradd devnote
   # passwd devnote

2. 将tomcat目录的属主用户设置为devnote，属组设置为devnote组

   # chown -R devnote.devnote /opt/tomcat

3. 对组内用户开放tomcat下所有文件的可读权限，以免启动时报错。如，不能读取sever.xml文件
   

   # chmod g+r -R /opt/tomcat

4. 对组内用户开放tomcat下webapps，logs，work，temp目录的可写权限

   # chmod g+w -R /opt/tomcat/webapps
   # chmod g+w -R /opt/tomcat/logs
   # chmod g+w -R /opt/tomcat/work
   # chmod g+w -R /opt/tomcat/temp

5. 使用用户devnote登陆系统，启动tomcat，确保能正常启动，如果不成功，请查看tomcat下的 catalina.out，一般是相关的文件，没有权限，相应设置即可；
6. 新建用户david，同时指定属组为devnote组，并设置密码

   # /usr/sbin/useradd -g devnote david
   # passwd david

7. 使用用户david登陆系统，启动tomcat，成功。

二、其他相关目录

有时候在更新项目之前需要将线上运行的正常的项目备份，以便上线失败后迅速恢复。

假设我这里的备份目录为/mnt/backup，参照如上，不难得出设置方法

# chown -R devnote.devnote /mnt/backup
# chmod g+w -R /mnt/backup

三、为新用户增加sudo操作

一般情况，我们需要用普通用户执行只有管理员才能运行的命令，这样要比直接用管理员帐户安全些。

# vi /etc/sudoers

在root的设置下新增一行，我这里是对组的设置。%标识devnote是组名。

这样，用户devnote和david都有执行权限了，如：

设置前：

[david@devnote ~]$ more /etc/sudoers 
/etc/sudoers: Permission denied

设置后：

[david@devnote ~]$ sudo more /etc/sudoers 

提示输入david的密码（非root密码）,即可。

当然，如果之前设置了tomcat开机自动启动，需要相应修改，可参见：
Linux 修改rc.local文件设置开机自动启动tomcat

相关说明：

在apache官网下载的tomcat gz包是有预置权限的，直接在linux下解压缩即可，如下图：

所以，基于如上配置，tomcat主用户对startup.sh这个文件有修改权限，而组内用户david则没有。