logo标签列表

在CentOS release 5.5 (Final)上启动Tomcat服务并监听80端口。

tomcattomcat6centosport
14

我想在80端口启动Tomcat 6.0.29。 我的操作系统是CentOS release 5.5(Final)。 我更改了$TOMCAT_HOME/conf/server.xml中的以下行:

<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="8443"/>

<Connector connectionTimeout="20000" port="80" protocol="HTTP/1.1" redirectPort="8443"/>

然后我运行了这个命令:

sudo /etc/init.d/tomcat6 start

在文件$TOMCAT_HOME/logs/catalina.log中,我发现了如下异常:

java.net.BindException: Permission denied <null>:80
    at org.apache.tomcat.util.net.JIoEndpoint.init(JIoEndpoint.java:549)
    at org.apache.tomcat.util.net.JIoEndpoint.start(JIoEndpoint.java:565)
    at org.apache.coyote.http11.Http11Protocol.start(Http11Protocol.java:203)
    at org.apache.catalina.connector.Connector.start(Connector.java:1087)
    at org.apache.catalina.core.StandardService.start(StandardService.java:534)
    at org.apache.catalina.core.StandardServer.start(StandardServer.java:710)
    at org.apache.catalina.startup.Catalina.start(Catalina.java:581)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:289)
    at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:414)
Caused by: java.net.BindException: Permission denied
    at java.net.PlainSocketImpl.socketBind(Native Method)
    at java.net.PlainSocketImpl.bind(PlainSocketImpl.java:365)
    at java.net.ServerSocket.bind(ServerSocket.java:319)
    at java.net.ServerSocket.<init>(ServerSocket.java:185)
    at java.net.ServerSocket.<init>(ServerSocket.java:141)
    at org.apache.tomcat.util.net.DefaultServerSocketFactory.createSocket(DefaultServerSocketFactory.java:50)
    at org.apache.tomcat.util.net.JIoEndpoint.init(JIoEndpoint.java:538)
    ... 12 more
0:11:56 org.apache.catalina.startup.Catalina start
SEVERE: Catalina.start:
LifecycleException:  service.getName(): "Catalina";  Protocol handler start failed: `java.net.BindException: Permission denied <null>:80
    at org.apache.catalina.connector.Connector.start(Connector.java:1094)
    at org.apache.catalina.core.StandardService.start(StandardService.java:534)
    at org.apache.catalina.core.StandardServer.start(StandardServer.java:710)
    at org.apache.catalina.startup.Catalina.start(Catalina.java:581)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:289)
    at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:414)
0:11:56 org.apache.catalina.startup.Catalina start`

提前感谢

如果您以root身份执行此操作,而不仅仅使用sudo,是否会得到相同的行为? - JenEriC
从堆栈跟踪中可以清楚地看出这是在本地代码中发生的,因此安全管理器不应该参与其中。我能想到的唯一原因是非root用户尝试绑定特权端口。你能否使用strace运行以查看它实际上卡在了什么地方? - JenEriC
7个回答
20

端口范围在1-1023之间是特权端口。只有root用户被允许绑定它们。

至少有两种解决方案:

  • 以root用户身份运行。当然,您需要权衡这带来的额外安全风险;包括Tomcat本身的安全漏洞(我认为很少)和您的Web应用程序中包含的漏洞(例如,可能导致人们读取/etc/shadow等)。但这种方法简单明了。

  • 使用jsvc作为服务运行。有关jsvc的详细信息,请参见http://tomcat.apache.org/tomcat-5.5-doc/setup.html。它需要一些额外的设置麻烦,但root用户仅涉及端口设置,Tomcat将作为没有特殊权限的用户运行。我建议任何严肃的设置都采用此方法。

无论选择哪种方式,实际启动Tomcat都需要root权限。

///BR,JenEriC

哦,我错过了启动命令的sudo部分。那应该可以工作。我不知道为什么它不起作用;抱歉。 - JenEriC
3
我倾向于在端口8080上启动Tomcat,并让iptables负责将所有从端口80发起的请求转发过来。 - mindas
1
@mindas:当然可以这样做,但这并不能解释手头的问题 :-/ - JenEriC
1
绝对没错 - 这就是为什么我只在你的帖子下发表了评论,而没有自己回答问题。总的来说,我认为你的答案实际上解决了这个问题(因此点赞)。 - mindas
你是对的。在脚本 /etc/init.d/tomcat6 中以用户tomcat运行了/usr/sbin/tomcat6。当我运行sudo /usr/sbin/tomcat6 start时,一切都很好。非常感谢。 - evgeniy44
10

使用mod_rewrite将所有在80端口(Apache)上的请求转发到AJP端口(8009)上运行的Tomcat。

yum install httpd
chkconfig httpd on
vi /etc/httpd/conf.d/proxy.conf

RewriteEngine On
RewriteRule ^/(.*)$ ajp://localhost:8009/$1 [P,QSA,L]

service httpd start

完成了。

6
您可以按照以下步骤更改“/etc/default/tomcat6”的AUTHBIND属性为“yes”:
AUTHBIND=yes

重新启动Tomcat,这将使您能够使用可用的特权端口(1-1023)。
6

另一个选择是使用authbind。

来自维基百科

authbind软件允许需要超级用户权限才能访问特权网络服务的程序以非特权用户身份运行。

1

我使用nginx将80端口绑定到了Tomcat所绑定的8080端口。

我的nginx配置如下:

{ server

listen 80;
   #which you can edit in /etc/hosts file.It can bind mydomain.com to 127.0.0.1
server_name mydomain.com; 
location / {
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://127.0.0.1:8080;
}
access_log logs/xxx456.tk_access.log;

}

0
我在Linux Mint中也遇到了一个问题。当我想要启动Tomcat端口80时,出现了权限被拒绝的错误。
我通过以root权限运行Tomcat来解决了这个问题。
示例:sudo ./startup.sh
-1

前往地址:/tomcat7/server.xml,编辑文件:使用属性porxyPort="80"

<Connector port="8080" ... proxyPort="80"/>

这将导致此Web应用程序中的Servlet认为所有代理请求都是指向端口80的www.mycompany.com。

在CentOS上,由于端口1024以下是保留端口,因此这种方法不起作用。最好的方法是在8080端口上运行,并更改iptables以将80端口的请求路由到8080端口。 - Krishna Vedula
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接