Linux 下 Tomcat 怎样以非 root 用户执行特权操作

2017-02-16 23:03

之前在公众号的文章里写过关于 怎样把Tomcat配置成Windows服务 从而使其以服务的方式运行。在Windows中的实现,使用的是一个Apache的开源项目 Procrun 。本次我们来谈谈Tomcat是如何实现守护进程(daemon),以及如何使用非root用户运行时,执行一些root用户才有的特权操作( 例如使用一个小于1024的端口 )。

而这次使用的是一个Apache的开源项目: Commons Daemon  中的一个名为JSVC的工具。

介绍

官网这样介绍JSVC

Jsvc是一系列应用和类库的集合,用于Java应用更轻松的运行在UNIX上。 Jsvc允许应用像root一样执行一些特权操作(例如绑定一个小于1024的端口),然后切换回一个非特权用户。对于Win32的可以使用Cygwin模拟器,然后Windows用户更推荐使用Procrun把应用运行成一个Windows 服务。

这样,有了Jsvc之后,我们为了使用80端口就不再需要使用root身份运行Tomcat了。接下来看怎样使用Jsvc。

在CATALINA_HOME/bin目录内,包含这样一个文件:commons-daemon-native.tar.gz,通过编译这个文件,我们可以得到Jsvc。编译命令如下:

cd $CATALINA_HOME/bin

tar xvfz commons-daemon-native.tar.gz

cd commons-daemon-1.0.x-native-src/unix

./configure

make

cp jsvc ../..

cd ../..

然后使用Jsvc执行如下命令时,Tomcat会以 daemon 的形式运行

./bin/jsvc \

-classpath $CATALINA_HOME/bin/bootstrap.jar:$CATALINA_HOME/bin/tomcat-juli.jar \

-outfile $CATALINA_BASE/logs/catalina.out \

-errfile $CATALINA_BASE/logs/catalina.err \

-Dcatalina.home=$CATALINA_HOME \

-Dcatalina.base=$CATALINA_BASE \

-Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager \

-Djava.util.logging.config.file=$CATALINA_BASE/conf/logging.properties \

org.apache.catalina.startup.Bootstrap

当然Jsvc还有很多有用的参数可以使用,比如前面提到的切换一个非特权用户,可以通过--user来指定,如果要使JVM进程以Server模式运行,可以指定--server参数。更多的参数可以通过--help来查看,会返回全部参数列表。

此处多说一句,如果在使用--user指定为root用户启动Tomcat,需要把org.apache.catalina.security.SecurityListener检查禁用,否则会导致启动不成功。我们前面提到的非root用户可以使用特权端口就是通过这个选项来实现的。虽然指定普通用户,一样可以使用特权端口。

再来接上开头的话题,在Linux系统中,我们要把Tomcat做为一个服务运行,在系统启动的时候可以自动启动,我们一般都会在 /etc/init.d 目录中创建一个启动脚本。如果在创建服务时使用Jsvc,脚本的写法Tomcat已经为我们考虑到了。在CATALINA_HOME/bin/目录下,有一个 daemon.sh 的脚本,可以做为模板来用。

以daemon的形式运行时,需要注意的一个问题是,commons-daemon.jar必须位于Tomcat的classpath内,因为在bootstrap.jar的MANIFEST.MF中有对于该jar的依赖声明:

Class-Path: commons-daemon.jar

如果在运行时遇到ClassNotFoundException之类的异常,把该jar包添加到类路径即可。即jsvc的-cp参数可以指定。

PS:常见class异常,可以参考前面写的文章了解解决

关注 Tomcat那些事儿 ,发现更多精彩文章!了解各种常见问题背后的原理与答案。深入源码,分析细节,内容原创,欢迎关注。

Linux 下 Tomcat 怎样以非 root 用户执行特权操作0