前言
一、禁用root用户和安装commons-daemon的原因
root用户启动tomcat有一个严重的问题,那就是tomcat具有root权限。这意味着你的任何一个页面脚本(html/js)都具有root权限,所以可以轻易地用页面脚本 修改整个硬盘里的文件!
所以最好不要使用root启动tomcat。
Apache common deamon是用来提供java服务的安装,实现将一个普通的 Java 应用变成系统的一个后台服务,在linux下部署为后台运行程序。若需要对程序启动前及关闭前进行一些自定义的操作(如启动时初始化工作,关闭时释放某些资源或进行特殊操作),此时就可以使用apache commons daemon了。
二、使用步骤
2.1.linux下使用commons-daemon
官网下载commons-daemon,其中需要下载commons-daemon主程序和jsvc包(源码包)
下载commons-daemon-1.0.15-bin.tar.gz,解压出commons-daemon-1.0.15.jar放到程序目录中(本示例为install/daemon),以便使用。
下载commons-daemon-1.0.15-src.tar.gz源码包,此程序用于在linux下使用源码方式安装jsvc。(提醒:在官网的jsvc只讲解了如休安装及使用,源码需要在这里下载)。
安装jsvc
tar -zxvf commons-daemon-1.2.3-src.tar.gz
cd commons-daemon-1.2.3-src/src/native/unix
./configure
make
cp jsvc /opt/apache-tomcat-9.0.37/bin/
2.2 以非root身份运行 Tomcat配置
# 创建用户组 tomcat
groupadd tomcat
# 创建用户 tomcat
useradd -g tomcat -s /usr/sbin/nologin tomcat
修改启动脚本文件vim daemon.sh
找到如下内容
test ".$TOMCAT_USER" = . && TOMCAT_USER=tomcat
JAVA_HOME=/opt/jdk1.8.0_261
修改TOMCAT_USER=tomcat,"tomcat"为运行tomcat的用户,刚刚我们创建的用户即为tomcat,所以无需修改。
将JAVA_HOME前的注释(即“#”号)去除,并设置为我们当前系统JDK的所在目录(这里我是:/application/jdk)。
更改tomcat目录权限
chown -R tomcat:tomcat apache-tomcat-9.0.37
Tomcat 操作命令
后台运行
/bin/daemon.sh start
前台运行
/bin/daemon.sh run
停止
/bin/daemon.sh stop
测试
启动Tomcat 已经可以禁用root用户运行并改用自定义用户
ps -ef |grep java |grep -v grep
