在 CentOS 版本 5.5 (Final) 上在端口 80 上启动 tomcat

Posted 2023-02-25

【中文标题】在 CentOS 版本 5.5 (Final) 上在端口 80 上启动 tomcat

【英文标题】：starting tomcat on port 80 on CentOS release 5.5 (Final)

【发布时间】：2011-07-29 12:27:24

【问题描述】：

我想在端口 80 上启动 Tomcat 6.0.29。 我的操作系统是 CentOS release 5.5 (Final) 我在 $TOMCAT_HOME/conf/server.xml 中更改了以下行

<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="8443"/>

到

<Connector connectionTimeout="20000" port="80" protocol="HTTP/1.1" redirectPort="8443"/>

然后我运行命令：

sudo /etc/init.d/tomcat6 start

在文件 $TOMCAT_HOME/logs/catalina.log 我发现了这样的异常：

java.net.BindException: Permission denied <null>:80
    at org.apache.tomcat.util.net.JIoEndpoint.init(JIoEndpoint.java:549)
    at org.apache.tomcat.util.net.JIoEndpoint.start(JIoEndpoint.java:565)
    at org.apache.coyote.http11.Http11Protocol.start(Http11Protocol.java:203)
    at org.apache.catalina.connector.Connector.start(Connector.java:1087)
    at org.apache.catalina.core.StandardService.start(StandardService.java:534)
    at org.apache.catalina.core.StandardServer.start(StandardServer.java:710)
    at org.apache.catalina.startup.Catalina.start(Catalina.java:581)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:289)
    at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:414)
Caused by: java.net.BindException: Permission denied
    at java.net.PlainSocketImpl.socketBind(Native Method)
    at java.net.PlainSocketImpl.bind(PlainSocketImpl.java:365)
    at java.net.ServerSocket.bind(ServerSocket.java:319)
    at java.net.ServerSocket.<init>(ServerSocket.java:185)
    at java.net.ServerSocket.<init>(ServerSocket.java:141)
    at org.apache.tomcat.util.net.DefaultServerSocketFactory.createSocket(DefaultServerSocketFactory.java:50)
    at org.apache.tomcat.util.net.JIoEndpoint.init(JIoEndpoint.java:538)
    ... 12 more
0:11:56 org.apache.catalina.startup.Catalina start
SEVERE: Catalina.start:
LifecycleException:  service.getName(): "Catalina";  Protocol handler start failed: `java.net.BindException: Permission denied <null>:80
    at org.apache.catalina.connector.Connector.start(Connector.java:1094)
    at org.apache.catalina.core.StandardService.start(StandardService.java:534)
    at org.apache.catalina.core.StandardServer.start(StandardServer.java:710)
    at org.apache.catalina.startup.Catalina.start(Catalina.java:581)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:289)
    at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:414)
0:11:56 org.apache.catalina.startup.Catalina start`

提前致谢

【问题讨论】：

如果您以 root 身份执行此操作，并且不仅使用 sudo，您会得到相同的行为吗？

从堆栈跟踪中可以清楚地看出这发生在本机代码中，因此不应涉及安全管理器。我设法想到的唯一原因是非root用户试图绑定特权端口。你能用 strace 跑一下，看看究竟是什么东西阻塞了吗？

【参考方案1】：

1-1023 范围内的端口具有特权。只允许 root 绑定到它们。

至少有两种方法可以解决这个问题：

以 root 身份运行。当然，您需要权衡由此推断出的额外安全风险； Tomcat 本身的安全漏洞（我相信很少）和您的 Web 应用程序包含的安全漏洞（例如，这可能导致人们阅读 /etc/shadow 作为示例），而这是简单而直接的。

使用 jsvc 作为服务运行。有关 jsvc 的详细信息，请参阅 http://tomcat.apache.org/tomcat-5.5-doc/setup.html。设置起来有些麻烦，但root只参与设置端口，然后Tomcat将以没有特殊权限的用户身份运行。我建议将其用于任何严肃的设置。

无论你选择哪种方式，Tomcat的实际启动都需要root权限。

///BR，詹埃里克

【讨论】：

嗯，我错过了启动命令的 sudo 部分。那应该行得通。我不知道为什么它不这样做；对不起。

我总是喜欢在 8080 端口上启动 tomcat，让 iptables 完成从 80 端口转发所有请求的工作。

@mindas：这当然可以，但不能解释手头的问题：-/

绝对 - 这就是为什么我只对你的帖子发表评论，而不是自己回答这个问题。总的来说，我认为您的回答实际上解决了问题（因此赞成）。

你是对的。在脚本 /etc/init.d/tomcat6 中使用用户 - tomcat 运行 /usr/sbin/tomcat6。当我运行时： sudo /usr/sbin/tomcat6 start - 一切正常。非常感谢。

【参考方案2】：

在 Tomcat 前面运行 Apache，并使用 mod_rewrite 将端口 80 (Apache) 上的所有请求连接到 AJP 端口 (8009) 上的 Tomcat。

yum install httpd
chkconfig httpd on
vi /etc/httpd/conf.d/proxy.conf

RewriteEngine On
RewriteRule ^/(.*)$ ajp://localhost:8009/$1 [P,QSA,L]

service httpd start

你已经完成了。

【参考方案3】：

您可以将“/etc/default/tomcat6”的 AUTHBIND 属性更改为“yes”，如下所示

AUTHBIND=yes

重新启动您的 tomcat，这将使您能够使用可用的特权端口 (1-1023)。

【参考方案4】：

另一种选择是使用 authbind。

来自Wikipedia：

authbind 软件允许通常需要超级用户权限才能访问特权网络服务的程序以非特权用户身份运行。

【参考方案5】：

我使用 nginx 2 将 80 绑定到 8080，这是 tomcat 绑定的端口。

我的 nginx 配置是这样的：

服务器

listen 80;
   #which you can edit in /etc/hosts file.It can bind mydomain.com to 127.0.0.1
server_name mydomain.com; 
location / 
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://127.0.0.1:8080;

access_log logs/xxx456.tk_access.log;

【参考方案6】：

转到地址：/tomcat7/server.xml，编辑文件：使用属性 porxyPort="80"

<Connector port="8080" ... proxyPort="80"/>

这将导致此 Web 应用程序中的 servlet 认为所有代理请求都被定向到端口 80 上的 www.mycompany.com。

【讨论】：

在 centos 上这不起作用，因为 1024 以下的端口被保留。最好是在 8080 端口上运行并更改 iptables 以将请求从 80 路由到转发到 8080