728x90 반응형 SMALL 톰캣 보안1 리눅스에서 톰캣 일반 계정으로 실행 하기 Tomcat을 root 로 실행할 때의 문제점 root 권한으로 실행을 한다는 건 root 콘솔에서 startup.sh을 통해 톰캣을 실행시킨 것이다. 이때 문제점은 현재 데몬이 root 권한으로 떠있는 것이며, 이상태에서 사용자가 해당 사이트에 접속하면 그 사용자의 접근권한도 root 가 된다... 아파치는 root 로 실행이 가능하고 접속자의 권한은 nobody로 주지만 톰캣은 그렇지 않다. 톰캣은 무조건 데몬을 실행시킨 권한을 접속자에게 동일하게 준다. 문제점 1)업로드시 폴더에 퍼미션을 걸어놓아도 퍼미션에 영향을 받지 않고 프로그래밍만 되어 있으면 업로드가 된다. 접근 권한이 root 권한이기 때문에... 문제점 2)업로드 폴더 퍼미션에 실행권한을 빼도 파일업로드시 악의적인 코드를 심어두어 실행 .. 2013. 12. 21. 이전 1 다음 728x90 반응형 LIST