非root用户tomcat daemon配置

最新推荐文章于 2022-03-02 09:04:01 发布
最新推荐文章于 2022-03-02 09:04:01 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: -----Tomcat相关特性 文章标签: tomcat 应用 服务器 脚本 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leshami/article/details/78427423
版权

基于安全策略来考虑,绝大多数应用程序都应以非root用户来启动,对于轻量级的应用程序,如tomcat,用root再寻常不过了。你懂的,方便啊。在生产环境这么干很容易被攻击者通过脚本干太多的事情了。因此生产环境就还是麻烦一点吧,使用非root用户来启动。本文演示了基于非root用户启动tomcat,同时将其作为一个daemon服务随服务器自启动。

一、演示环境描述

OS及tomcat版本
  [root@node132 ~]# more /etc/redhat-release
  CentOS release 6.7 (Final)
  [root@node132 ~]# /usr/local/tomcat/bin/catalina.sh version
  Using CATALINA_BASE: /usr/local/tomcat
  Using CATALINA_HOME: /usr/local/tomcat
  Using CATALINA_TMPDIR: /usr/local/tomcat/temp
  Using JRE_HOME: /usr/local/src/jdk1.7.0_79
  Using CLASSPATH: /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
  Server version: Apache Tomcat/7.0.69
  Server built: Apr 11 2016 07:57:09 UTC
  Server number: 7.0.69.0
  OS Name: Linux
  OS Version: 2.6.32-573.el6.x86_64
  Architecture: amd64
  JVM Version: 1.7.0_79-b15
  JVM Vendor: Oracle Corporation

Java环境变量
  [root@node132 ~]# env|grep JAVA
  JAVA_HOME=/usr/local/src/jdk1.7.0_79

二、配置tomcat daemon服务及自启动

添加tomcat用户及组
  [root@node132 ~]# groupadd tomcat
  [root@node132 ~]# useradd -s /sbin/nologin -g tomcat tomcat
  [root@node132 ~]# usermod -L tomcat

配置启动脚本
  [root@node132 ~]# cd /usr/local/tomcat/bin/
  [root@node132 bin]# tar -xf commons-daemon-native.tar.gz
  [root@node132 bin]# cd commons-daemon-1.0.15-native-src/unix/
  [root@node132 unix]# ./configure --with-java=/usr/local/src/jdk1.7.0_79
  [root@node132 unix]# make
  [root@node132 unix]# cp jsvc /usr/local/tomcat/bin/.

  [root@node132 bin]# vim daemon.sh
  #!/bin/sh

  #chkconfig: 235 80 20 ##当前行开始添加下列行
  #description:tomcatd

  JAVA_HOME=/usr/local/src/jdk1.7.0_79 ##Author : Leshami
  CATALINA_HOME=/usr/local/tomcat ##Blog : http://blog.csdn.net/leshami
  TOMCAT_USER=tomcat

  #ARG0="$0" ##注释此行,用下一行替换
  ARG0=/usr/local/tomcat

配置自启动
  [root@node132 bin]# cp daemon.sh /etc/init.d/tomcatd
  [root@node132 bin]# chkconfig --add tomcatd
  [root@node132 bin]# chkconfig tomcatd on

  [root@node132 bin]# chown -R tomcat:tomcat /usr/local/tomcat
  [root@node132 bin]# /etc/init.d/tomcatd start

  [root@node132 local]# ss -nltp|grep jsvc
  LISTEN 0 100 :::8009 :::* users:(("jsvc",15942,45))
  LISTEN 0 100 :::8080 :::* users:(("jsvc",15942,44))

  [root@node132 local]# ps -ef|grep tomcat
  root 16293 1 0 17:10 ? 00:00:00 jsvc.exec -java-home /usr/local/..
  tomcat 16294 16293 2 17:10 ? 00:00:02 jsvc.exec -java-home /usr/local/..

测试
  [root@node132 local]# curl -I http://localhost:8080
  HTTP/1.1 200 OK
  Server: Apache-Coyote/1.1
  Content-Type: text/html;charset=ISO-8859-1
  Transfer-Encoding: chunked
  Date: Thu, 02 Nov 2017 07:35:08 GMT

三、基于su命令实现非root非daemon方式

直接使用su - tomcat方式来实现非root用户运行tomcat程序

  [root@node132 ~]# vim /etc/init.d/tomcat
  #!/bin/sh
  # Tomcat init script for Linux.
  #
  # chkconfig: 2345 96 14
  # description: The Apache Tomcat servlet/JSP container.
  JAVA_HOME=/usr/java/latest
  CATALINA_HOME=/usr/local/tomcat-su
  export JAVA_HOME CATALINA_HOME
  su - tomcat -c "exec $CATALINA_HOME/bin/catalina.sh $*" ##关键是这行

  [root@node132 ~]# /etc/init.d/tomcat start ##需要解锁账户
  This account is currently not available.

  [root@node132 ~]# usermod -U -s /bin/bash tomcat
  usermod: unlocking the user's password would result in a passwordless account.
  You should set a password with usermod -p to unlock this user's password.
  [root@node132 ~]# /etc/init.d/tomcat start
  Using CATALINA_BASE: /usr/local/tomcat
  Using CATALINA_HOME: /usr/local/tomcat
  Using CATALINA_TMPDIR: /usr/local/tomcat/temp
  Using JRE_HOME: /usr/local/src/jdk1.7.0_79
  Using CLASSPATH: /usr/local/tomcat/bin/bootstrap.jar:
  Tomcat started.

  [root@node132 ~]# ps -ef|grep tomcat
  tomcat 16600 1 69 17:25 ? 00:00:02 /usr/local/src/jdk1.7

  [root@node132 ~]# curl -I http://localhost:8080
  HTTP/1.1 200 OK
  Server: Apache-Coyote/1.1
  Content-Type: text/html;charset=ISO-8859-1
  Transfer-Encoding: chunked
  Date: Thu, 02 Nov 2017 09:20:54 GMT

四、基于sudo命令实现非root非daemon方式

  [root@node132 ~]# sudo su - tomcat /usr/local/tomcat/bin/catalina.sh start
  Using CATALINA_BASE: /usr/local/tomcat
  Using CATALINA_HOME: /usr/local/tomcat
  Using CATALINA_TMPDIR: /usr/local/tomcat/temp
  Using JRE_HOME: /usr/local/src/jdk1.7.0_79
  Using CLASSPATH: /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
  Tomcat started.
  [root@node132 ~]# ps -ef|grep tomcat
  tomcat 16523 1 64 17:24 pts/0 00:00:02 /usr/local/src/jdk1.7.0_79/bin....

五、三种方式比较

  daemon 方式可以实现自启动,安全度高,即账号可以锁定,配置nologin,但是会多启动一个进程
  su及sudo方式大同小异,两者都需要账号为启用状态,少一个进程
  三种方式中,都需要将tomcat其下相关目录的所有者设定为tomcat用户及其对应的属组

参考链接 http://tomcat.apache.org/tomcat-7.0-doc/setup.html

DBA牛鹏社(SQL/NOSQL/LINUX)

Leshami
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat--daemon模式安装
u010260632的博客
03-25 546
检查 java –version查看jdk环境 [root@localhost ~]# java -version -bash: /usr/bin/java: No such file or directory not found说明当前服务器没有JDK环境,需要安装JDK。 进入tomcat/bin目录下查看是否存在commons-daemon-native.tar.gz包 [root@...
chmod & chown
YiCheng_L的博客
11-30 295
chmod 在linux文件权限的设计中,4 代表 读,2 代表 写,1 代表 运行,组合的权限求和。 权限类别    r 读权限    w 写权限    x 执行权限    X 表示只有当该档案是个子目录或者该档案已经被设定过为可执行。    s 文件属主和组id    l 给文件加锁,使其它用户无法访问    r-->4    w-->2    x-->1 其他参...
Centos7 中设置tomcatdaemon服务,并开机启动
西门飘雪的博客
09-26 958
1 序言 Jsvc 是专为 Java 应用程序开发的一个工具包,其目标是把 Java 应用程序的普通运行转换为可以配置某个普通用户以Unix 守护进程的方式运行。这样的话,可以很方便地启动 / 停止应用程序,同时也可以支持开机自启。开机自启tomcat是比较重要的,可以保证由于意外而使机器需要重启时不需要手动重启tomcat就可以自动恢复服务。 简而言之,在生产环境中我们需要将tomcat配...
tomcat安装_tomcat--daemon模式安装
weixin_39553156的博客
11-23 303
检查java –version查看jdk环境[root@localhost ~]# java -version-bash: /usr/bin/java: No such file or directorynot found说明当前服务器没有JDK环境,需要安装JDK。进入tomcat/bin目录下查看是否存在commons-daemon-native.tar.gz包[root@localhost ...
Linux用户用户组管理
m0_63055621的博客
03-02 4901
1、用户组管理 用户组的管理包括用户组的添加、删除和修改。 为什么要建立用户组 人事部有20名员工,我们要建立一个组,叫 hr,这样就不用分别给20个员工设置权限了。 ① 用户组添加 命令:groupadd 作用:添加组 语法:# groupadd [参数选项 选项值] 用户组名 选项:-g:设置用户组ID 数字,如果不指定,则默认从1000 之后递增(1-999系统组) 用法一:groupadd 组名 示例代码: #groupadd hr 含义:新建一个组叫做hr
Tomcat daemon 脚本管理Tomcat
静静是我女朋友
12-21 1157
Tomcat-daemon脚本用来通过daemon的方式管理tomcat服务的启动,停止,重启,查看状态和是啥查看日志,具体用法如下: # /etc/init.d/tomcatall tomcat_port tomcat_8081 is valilable !!! Usage: /etc/init.d/tomcatall {start|stop|restart|status|log|kill
tomcatdaemon安装方式
weixin_33712881的博客
04-12 114
由于使用的方式,会出现很多致命的bug,所以现在用tomcat的方式来启动jenkins,先得安装一下tomcat,简单记录一下tomcat的安装一,首先需要JDK环境 当然最好使用官方的java,目前还是尽量不要使用openjdk,java的安装就不说了,搞计算机的也差不多都知道了,下面说一下tomcat的安装,不要忘了设置环境变量,全局的或者局部的,看自己,例如JAVA...
linux下root用户运行tomcat
01-09
# 前言:为什么要使用root用户运行tomcat root用户启动tomcat有一个严重的问题,那就是tomcat具有root权限。 这意味着你的任何一个页面脚本(html/js)都具有root权限,所以可以轻易地用页面脚本 修改整个硬盘里的...
Linux系统安装Tomcat配置Service启动关闭
01-09
在Linux系统下配置service启动和关闭 1, 通过命令cd /etc/init.d文件夹下 2, 再通过命令 vim tomcat 进入vim编辑界面 3,用过 i键 现在把下面代码贴入编辑... # description: Starts and stops the Tomcat daemon.
Ubuntu root用户使用Docker命令提示:connect: permission denied
01-08
打开终端直接输入 docker 命令时出现以下错误: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker....将root用户加入docker组 usermod -aG docker yourUser
init-kibana:以root用户身份运行Kibana4
05-09
脚本root用户身份在RHEL6 / CENTOS6上运行Kibana4。 您可以指定希望以其身份运行Kibana4的用户。 要使此脚本正常工作,您需要更改以下内容; Kibana bin文件的位置: KIBANA_BIN=/home/kibana_user/kibana...
使用 jsvc 启动tomcat的方法(使用普通用户运行)
01-10
在生产中,tomcat应该以daemon的模式运行,而且如果需要以普通用户的身份启动tomcat,那么就不能使用1024以下的端口,这是Liunx系统的限制,只有root用户才能使用小于1024的端口。那么该如何将tomcat配置服务呢?...
Linux 用户管理基础
hsforpyp的博客
02-19 467
Linux 操作系统用户和组的概念,为什么要做用户用户组管理?inux的用户用户组的关系?什么是Linux的多用户多任务?什么是用户?什么是用户组?用户和组的关系?用户组有哪些操作?如何 认识/etc/group文件? 用户组的添加、修改、删除,Linux用户有哪些操作?如何认识/etc/passwd文件?Linux如何添加用户?Linux如何查看用户信息?Linux如何修改用户密码?如何认识/etc/shodow文件?管道是什么?xargs命令有什么作用...
记录:tomcat10安装部署及以服务daemon的方式(开机自启动)运行tomcat
lky_for_lucky的博客
12-09 1150
首先,贴出官网的文档(我英文不好,看得脑壳痛) 这里整理出几个重点,如下 ①JAVA_HOME:JDK的路径,在/etc/profile文件里可以看到(安装JDK的时候设置的,不清楚的可以翻我安装JDK的记录); ②CATALINA_HOME:tomcat的路径,和JAVA_HOME类似; ②jsvc:一款工具, commons-daemon项目的,具体介绍自行看项目文档。 jsvc的源码包已经在tomcat的bin目录下,就是这个压缩包commons-daemon-native.tar.gz。 具体操作
Linux系统的tomcatdaemon模式启动
叶梦
11-01 4872
目录 1 序言 2 安装jsvc 3 添加开机自启服务 3.1 debian系统为准 3.1.1 对 daemon.sh 脚本做修改: 3.1.2 添加服务 3.1.3 开启服务 3.2 centos系统为准 3.2.1 对 daemon.sh 脚本做修改: 3.2.2 添加服务 3.2.3 开启服务 1 序言 Jsvc 是专为 Java 应用程序开发的一个工具包,其目标...
Linux Tomcat安装篇(daemon运行,开机自启动)
吴码
11-30 784
目录前言版本安装部署1.下载2.创建用户3.安装jsvc4.编辑daemon.sh4.赋权并添加服务5.日志中文乱码 前言 作为一个Java后端开发者,tomcat想必是最最最熟悉的一个开发组件了,tomcat环境的搭建部署都十分简单。安装部署只需要两步,第一步下载,第二步解压,这样一个基础的tomcat环境就搭建好啦。通常直接执行tomcat目录下的bin/startup.sh脚本进行启动,执行bin/shutdown.sh脚本进行关闭。刚工作那段时间一直都是这么操作的,玩的不亦乐乎,工作几年后忽然发现还
Linuxroot用户daemon模式启动tomcat服务
06-07 2558
原文连接:https://www.cnblogs.com/xyzx0326/p/5367797.html2、Tomcat8 配置1)下载 Tomcat 8 并上传到服务器,这里我下载的是 apache-tomcat-8.0.32.tar.gz 版本2)配置单独用户 tomcat 运行 Tomcat8 服务,这这里配置tomcat 是无登录权限的账户groupadd tomcat useradd...
linux下tomcat作为daemon运行
我们不生产任何代码 只做代码的搬运工
02-16 3610
在linux下如果想让tomcat在开机时自启动,可以将启动代码写到/etc/rc.local里面。但是,这样的话,tomcat将以root权限运行,这是不安全的。因此,要想办法让tomcat特权身份作为daemon运行。 要将tomcat作为linux的daemon运行,需要commons-daemon工程的jsvc工具,tomcat的bin目录里已经自带了这个工具的源码。 解压
Linux下配置Tomcat使用普通用户启动Daemon进程
我们不生产任何代码 只做代码的搬运工
02-19 3712
Tomcat Version: 6.0.41 JRE/JDK Version: 1.6 安装配置Tomcat 过程略,具体可参考我之前的文章,整个配置过程大致一样,除启动脚本配置不一样外,具体配置如下 《Linux(CentOS)下配置安装Tomcat配置JDK环境》 《Linux(CentOS)下配置安装Tomcat配置JRE环境》
root用户设置zookeeper开机自启
最新发布
04-21
您可以按照以下步骤设置root用户在开机时自启动Zookeeper: 1. 创建一个`systemd`服务文件,假设文件名是`zookeeper.service`。 2. 将文件放在`/etc/systemd/system/`目录下。 3. 编辑`zookeeper.service`文件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值