Linux下Tomcat怎樣進(jìn)行以非root用戶執(zhí)行特權(quán)操作

今天就跟大家聊聊有關(guān)Linux下Tomcat怎樣進(jìn)行以非root用戶執(zhí)行特權(quán)操作，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

下面使用的是一個(gè)Apache的開(kāi)源項(xiàng)目:Commons Daemon 中的一個(gè)名為JSVC的工具。

介紹

官網(wǎng)這樣介紹JSVC

Jsvc是一系列應(yīng)用和類(lèi)庫(kù)的集合，用于Java應(yīng)用更輕松的運(yùn)行在UNIX上。Jsvc允許應(yīng)用像root一樣執(zhí)行一些特權(quán)操作(例如綁定一個(gè)小于1024的端口)，然后切換回一個(gè)非特權(quán)用戶。對(duì)于Win32的可以使用Cygwin模擬器，然后Windows用戶更推薦使用Procrun把應(yīng)用運(yùn)行成一個(gè)Windows 服務(wù)。

這樣，有了Jsvc之后，我們?yōu)榱耸褂?0端口就不再需要使用root身份運(yùn)行Tomcat了。接下來(lái)看怎樣使用Jsvc。

在CATALINA_HOME/bin目錄內(nèi)，包含這樣一個(gè)文件：commons-daemon-native.tar.gz，通過(guò)編譯這個(gè)文件，我們可以得到Jsvc。編譯命令如下：

cd $CATALINA_HOME/bin

tar xvfz commons-daemon-native.tar.gz

cd commons-daemon-1.0.x-native-src/unix

./configure

make

cp jsvc ../..

cd ../..

然后使用Jsvc執(zhí)行如下命令時(shí)，Tomcat會(huì)以daemon的形式運(yùn)行

./bin/jsvc \

    -classpath $CATALINA_HOME/bin/bootstrap.jar:$CATALINA_HOME/bin/tomcat-juli.jar \

    -outfile $CATALINA_BASE/logs/catalina.out \

    -errfile $CATALINA_BASE/logs/catalina.err \

    -Dcatalina.home=$CATALINA_HOME \

    -Dcatalina.base=$CATALINA_BASE \

    -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager \

    -Djava.util.logging.config.file=$CATALINA_BASE/conf/logging.properties \

    org.apache.catalina.startup.Bootstrap

當(dāng)然Jsvc還有很多有用的參數(shù)可以使用，比如前面提到的切換一個(gè)非特權(quán)用戶，可以通過(guò)--user來(lái)指定，如果要使JVM進(jìn)程以Server模式運(yùn)行，可以指定--server參數(shù)。更多的參數(shù)可以通過(guò)--help來(lái)查看，會(huì)返回全部參數(shù)列表。

此處多說(shuō)一句，如果在使用--user指定為root用戶啟動(dòng)Tomcat，需要把org.apache.catalina.security.SecurityListener檢查禁用，否則會(huì)導(dǎo)致啟動(dòng)不成功。我們前面提到的非root用戶可以使用特權(quán)端口就是通過(guò)這個(gè)選項(xiàng)來(lái)實(shí)現(xiàn)的。雖然指定普通用戶，一樣可以使用特權(quán)端口。

再來(lái)接上開(kāi)頭的話題，在Linux系統(tǒng)中，我們要把Tomcat做為一個(gè)服務(wù)運(yùn)行，在系統(tǒng)啟動(dòng)的時(shí)候可以自動(dòng)啟動(dòng)，我們一般都會(huì)在/etc/init.d目錄中創(chuàng)建一個(gè)啟動(dòng)腳本。如果在創(chuàng)建服務(wù)時(shí)使用Jsvc，腳本的寫(xiě)法Tomcat已經(jīng)為我們考慮到了。在CATALINA_HOME/bin/目錄下，有一個(gè)daemon.sh的腳本，可以做為模板來(lái)用。

以daemon的形式運(yùn)行時(shí)，需要注意的一個(gè)問(wèn)題是，commons-daemon.jar必須位于Tomcat的classpath內(nèi)，因?yàn)樵赽ootstrap.jar的MANIFEST.MF中有對(duì)于該jar的依賴聲明：

Class-Path: commons-daemon.jar

如果在運(yùn)行時(shí)遇到ClassNotFoundException之類(lèi)的異常，把該jar包添加到類(lèi)路徑即可。即jsvc的-cp參數(shù)可以指定。

看完上述內(nèi)容，你們對(duì)Linux下Tomcat怎樣進(jìn)行以非root用戶執(zhí)行特權(quán)操作有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。