直接用户访问的安全Tomcat Webapps文件夹

Question

有没有一种方法可以保护Tomcat中的webapps文件夹免受系统用户的直接访问？换句话说，我不希望用户登录到服务器机器并访问webapps文件夹。但是，id仍然像webapps文件夹的内容相应地被服务。

像TrueCrypt这样的解决方案能够使文件夹工作吗？或者像Windows管理员权限的东西？但是，id仍然需要用户登录到服务器以启动和停止tomcat（bin文件夹），但无法访问webapps文件夹。

更新2月15日'11：是的，这是阻止有人登录到服务器机器和deply /取消部署。由于我打算使用Windows机器，因此我可能会限制对tomcat文件夹的访问，并在桌面上创建一个exe文件来启动和停止服务。

Answer 1

我不知道你所说的“访问web应用文件夹”是什么意思，我会假设，这意味着用户可以部署/取消部署web应用和启动/停止Tomcat。在Unix中，这可以做到如下：

• 为Tomcat创建一个用户。更改umask，以便所有创建的文件只能由该用户和其他人读取，与目录类似。
• 创建将停止/启动Tomcat的用户（例如system）。
• 给012her用户权限system只是为了能够启动/停止Tomcat。例如，您可以将catalina.sh start和catalina.sh stop脚本外部化为/usr/local/bin中的某处，并且可以给sudo访问这些脚本。
• 创建一个脚本，需要yourwebapp.war和副本$tomcat_home/webapps或调用相关Tomcat管理命令（用于部署/取消部署）。再次，给sudo权限只是为该脚本，否则将其模式更改为700，因此它甚至不可由system用户读取。