Создание группы и пользователя для Tomcat RHEL / CentOS
Вы не указываете, какой ftpd Вы используете на стороне Unix и существуют некоторые для выбора из. Полученный ftpd BSD говорит, что это - опция демону:
- u umask Наборы umask для процесса ftpd. Значение по умолчанию обычно равняется 027.
Общий Командующий FAQ говорит:
Q: Как я могу изменить права доступа (полномочия) файлов? A: Если FTP-сервер поддерживает команду chmod (к сожалению, не поддерживаемый всеми серверами), можно или использовать функциональные Файлы - атрибуты Изменения или непосредственно отправить команду через командную строку, например, сайт chmod 755 test.cgi
Но нечетная часть является липко-разрядным t быть установленным, которое является, вероятно, отказом Общего Командующего, потому что umask только разделяет биты и это - редкий файл, который должен иметь тот набор битов для запуска с.
Вы не говорите, связаны ли Вы узами брака с Общим Командующим, но есть ли неопровержимый довод для не использования OpenSSH scp или даже смонтируйте исходный объем на целевой машине через Samba? FTP немного устарел.
Существует столько же мнений, сколько и людей. Я думаю, что лучший способ создать пользователя tomcat можно сделать следующим образом:
# useradd -r -s /sbin/nologin tomcat
# chown -R tomcat: /usr/local/tomcat
Значит, вы создадите системную учетную запись. Информация от man useradd :
System users will be created with no aging information in /etc/shadow,
and their numeric identifiers are chosen in the SYS_UID_MIN-SYS_UID_MAX
range, defined in /etc/login.defs, instead of UID_MIN-UID_MAX (and their
GID counterparts for the creation of groups).
Также useradd -r ... создает группу с тем же именем, что и пользователь, и вам не нужно создавать ее самостоятельно.
Кстати, если вы решите что-то изменить в конфигурации пользователя (например, указать домашний каталог или изменить оболочку), вы всегда сможете сделать это с помощью команды usermod .
Прочтите man useradd и man usermod .
Правка
На самом деле вам следует ответить на несколько вопросов:
- Вам нужен системный пользователь (с UID <500)?
- Вам нужна оболочка или вы хотите отключить доступ к оболочке (
/ sbin / nologin, / bin / false)? - Нужен ли вам домашний каталог для этого пользователя (кстати, tomcat, возможно, хочет его иметь)?
Хорошо, вам не нужен UID < 500 и хотите домашний каталог (сейчас его нет), выполните следующую команду:
# useradd -U -d /usr/local/tomcat -m -s /bin/false tomcat Параметр -U создаст группу с тем же именем.
Если вы хотите добавить описание пользователя, используйте -c "Пользователь Tomcat" .
Если у вас уже есть каталог tomcat:
# useradd -U -d /usr/local/tomcat -M -s /bin/false tomcatПосле этого вы должны изменить владельца каталога tomcat (чтобы позволить пользователю tomcat работать с ним):
# chown -R tomcat: /usr/local/tomcatРедактировать 2
Вы спросили, мы отвечая.
- Если у вашего пользователя UID <500, это означает, что это только пользователь какой-то службы, а не обычный пользователь (возможно, человек, имеющий доступ к оболочке). Это не принесет вам уязвимости, потому что эти пользователи не обрабатываются операционной системой специально. Также это не даст вам расширенной функциональности. Только одно, почему использовать UID <500 нехорошо: в будущем можно установить какой-нибудь RPM-пакет, и он предоставит пользователю такой же UID. В этом случае у вас возникнут проблемы. Это оно! Кстати, tomcat, установленный из RPM, предоставляет пользователю tomcat с UID = 91 и группе с GID = 91 (по крайней мере, в моей Fedora):
$ id tomcat
uid=91(tomcat) gid=91(tomcat) groups=91(tomcat)
Хорошо, используйте
/ bin / falseили/ sbin / нологин.Вы можете указать
/в качестве домашнего каталога для вашей службы, как это делают некоторые пакеты.Например, если у вас установлен tcpdump из RPM, у вас есть следующая строка в/ etc / passwd:
tcpdump:x:72:72::/:/sbin/nologin В этом случае используйте команду useradd с ключами -d / и -M .
С другой стороны, tomcat, установленный из RPM, имеет правильный домашний каталог:
tomcat:x:91:91:Apache Tomcat:/usr/share/tomcat:/bin/nologin А теперь несколько слов о chown .
Эти команды выполняют ту же работу:
chown tomcat:tomcat /usr/local/tomcat
chown tomcat: /usr/local/tomcat
Цитата из man chown :
Группа не изменяется, если отсутствует, но изменяется на группу входа в систему, если подразумевается ':' после символического ВЛАДЕЛЬЦА.
Использование . как разделитель ВЛАДЕЛЕЦ / ГРУППА устарел. Используйте : .
useradd -m -d /home/thenewuser -s /bin/bash -c "the new user" -U thenewuser
-c "сообщение" : дополнительная информация о пользователе.
-U thenewuser : Создайте группу с тем же именем, что и пользователь, и добавьте пользователя в эту группу.
-N : аргумент -N указывает системе не создавать группу с именем пользователя.
-m, --create-home такие же: создать домашний каталог пользователя, если это так. не существует.
-d, --home HOME_DIR : новый пользователь будет создан с использованием HOME_DIR в качестве значения для каталога входа пользователя.
если -d не используется, домашний каталог по умолчанию будет / home / thenewuser
-m -d / data / thenewuser : -m аргумент создает домашний каталог / data / thenewuser, указанный аргументом -d.
-M : аргумент -M указывает системе не создавать домашний каталог
-s / bin / bash : -s используется для указания пользователя оболочка по умолчанию, в данном случае / bin / bash.
-s или --shell одинаковы.
-s / sbin / nologin : / sbin / nologin для Fedora и / usr / sbin / nologin для Debian - это две оболочки, которые возвращают вам вежливое сообщение. типа «эта учетная запись недоступна» и не позволяют войти в систему. Это сообщение можно настроить.
-s / bin / false : старая оболочка, используемая для отказа в входе пользователя. / Bin / false немедленно завершает работу, если существует false. Учетные записи пользователей с / bin / false или / bin / true в качестве оболочки по умолчанию заблокированы.
-s / sbin / nologin принадлежит unix-linux, а / bin / false - части GNU Coreutils. Для работы эти оболочки должны быть перечислены в файле / etc / shells.
Пользователи с / sbin / nologin (или / usr / sbin / nologin) могут подключаться через ssh или ftp, но пользователи с / bin / false полностью заблокированы от системы.
с useradd -D : Вы также можете просмотреть параметры по умолчанию, установленные для нового пользователя, который будет создан с помощью
# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
#
. Проверьте другие альтернативы в: http://www.golinuxhub.com/ 2014/04/10-Practical-examples-to-use-useradd.html
-r : аргументы -r предназначены для создания системного пользователя
Проверить пользователя
finger
Пример
# finger mysql
Login: mysql Name:
Directory: /home/mysql Shell: /bin/bash
Never logged in.
No mail.
No Plan.
#
CentOS 6 не имеет этой команды, но вы можете легко установить ее с помощью
yum install finger
.