如何设定执行Java的Linux安全环境

　　接下来，您将需要建立一些额外目录作为一般系统的缩减版本。这包括 /dev，以及设备 /dev/null 和 /dev/zero；/etc 以及 /etc/passwd 和 /etc/group 文件的已编辑版本（只保留 root 和 tomcat 项），也许还有主机。如果正在多处理器系统上执行，您还需要在新的根目录下挂装 /proc 系统，因为 JVM 使用该系统来协调各个处理器。

　　最后，为了在设定了 chroot 后仍作为使用者 tomcat 执行，也许需要建置一个可以在虚拟根目录下执行的 su 指令版本（许多分发版的一般版本不容许这样做）。要这样做，可以从 GNU 项目获取 sh-utils 来源码并根据该来源码直接建置 su，然后将它复制到新的根目录的 /bin 目录中。

　　完成了所有这些设定后，可以尝试以 root 使用者身份执行（假设新的根目录位于 /home/tomcat）︰

　　/usr/sbin/chroot /home/tomcat /bin/su tomcat

　　如果设定正确，这应该让您在新的根目录下作为 tomcat 执行，而且您可以尝试使用您的指令码来启动和停止 Tomcat.在证实了所有东西都工作之后，最后一步就是将清单 3 中的 Tomcat 服务定义变更成使用 chroot 来代替 su，将 su 指令移到 tcstart.sh 指令码和 tcstop.sh 指令码。还需要确保只能由 root 使用者修改这些指令码。

　　希望这篇概述的解释很清楚，这个过程并不适合胆小的人﹗如果您选择走使用 chroot 这条路线，但以前没有使用过 chroot，那么您一定要参考网上的 chroot 参考数据之一，以获取详细信息。但是这确实会给您的 Java 服务器程序代码可能最好的隔离，而且在某些情况下，带来的内心的宁静值得这样做。

　　结语

　　Linux 和 Java 技术都正在赢得商业系统的市场份额。尽管开放来源码 Linux 和特许 Java 技术之间存在着原理上的差异，但这两者在一起确实配合得很好。Linux 对于 Java 应用程序，尤其是对于服务器类别型的应用程序是一个极好的部署环境，而 Java 技术是作为企业软件开发的先进方法而建立且得到了认可。

　　透过正确的预防措施，在 Linux 上执行的 Java 服务器应用程序可以提供非常高的安全性程度 ─ 甚至高于本机应用程序 ─ 因为 Java 技术消除了服务器应用程序中许多弱点的常见来源。Java 技术的跨平台性质所带来的是包括企业工作人员和 Linux 立即就绪的应用程序的巨大资源集合。Java 服务器应用程序开始在日益增长的 Linux 的服务器市场份额中扮演重要角色，而且这种趋势在将来只会帮助这两种技术。