小编点评

**Tomcat 用户授权配置** 使用 `daemon.sh` 命令在 Tomcat 中添加用户并设置权限。以下是步骤： 1. **打开 `tomcat/conf/tomcat.properties` 文件**。 2. 在 `tomcat.properties` 中添加以下配置： ```properties tomcatgroupadd -g 2000 tomcatuseradd -g 2000 -u 2000 tomcat ``` 3. **重启 Tomcat 服务**： ```bash service tomcat restart ``` 4. **验证用户是否存在**： ```bash cat /etc/passwd | grep tomcat ``` **使用 `daemon.sh` 命令启动 Tomcat** 1. **打开 `tomcat/bin/daemon.sh` 文件**。 2. 在 `daemon.sh` 中添加以下配置： ``` #!/bin/sh # 使用名为 tomcat 用户执行 su -u tomcat ./daemon.sh./bin/daemon.sh start ``` 3. **运行 `daemon.sh` 文件**： ```bash ./daemon.sh start ``` **注意**： * `daemon.sh` 文件需要具有可执行权限（`chmod +x daemon.sh`）。 * `./daemon.sh` 文件中的 `start` 命令用于启动 Tomcat 服务。 * 这将创建一个名为 `catalina-daemon.pid` 的 pid 文件，记录 Tomcat 的运行状态。

正文

      部署远程服务器时候, 基本都是用root账户登录, 习惯上会直接使用root启动tomcat.

      这样其实是有风险的, 黑客获取的权限即容器的权限，
      如果容器运行权限就很高，被攻破黑客即可获取很高的权限，造成破坏面及风险更大

本文介绍通过tomcat下的/bin/daemon.sh方式启动tomcat

• 添加用户tomcat

  groupadd -g 2000 tomcat
  useradd -g 2000 -u 2000 tomcat
  

• 给目录授权

  chown -R tomcat:tomcat /usr/local/tomcat
  

• 使用daemon.sh启动

  daemon.sh文件中大约在90行左右指定了使用名为tomcat用户的用户执行.

  所以我们直接运行daemon.sh即可, 不需要su -u tomcat ./daemon.sh

  ./bin/daemon.sh start
  

• 配置tomcat开机自启

  // vim /etc/rc.d/rc.local
  
  // 在文件最后添加
  /usr/local/tomcat/bin/daemon.sh start
  

• 问题解决

  • 使用daemon.sh启动时候缺少jsvc文件

  • 从以下途径获取到jsvc文件后, 复制到tomcat/bin下, 赋予root执行权限再次启动即可

    • 直接下载: jsvc.zip - 蓝奏云

    • 上面下载链接的来源: tomcat启动异常jsvc:No such file or director

    • 手动生成: jsvc: No such file or directory

  • 文件路径权限问题

    如果项目中使用到的文件(如: 日志或其他文件等), 需要手动授权.

    chown -R tomcat:tomcat /file/

  • 自启失败

    判断/etc/rc.d/rc.local是否可执行

    查看tomcat日志是否启动了tomcat

• 查看运行进程
  若自动换行, 使用代码全屏查看

  [root@hecs-26265 ~]# ps -ef | grep tomcat
  root         881       1  0 10:42 ?        00:00:00 jsvc.exec -java-home /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.342.b07-0.hce2.x86_64/jre -user tomcat -pidfile /usr/local/tomcat/logs/catalina-daemon.pid -wait 10 -umask 0027 -outfile /usr/local/tomcat/logs/catalina-daemon.out -errfile &1 -classpath /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/commons-daemon.jar:/usr/local/tomcat/bin/tomcat-juli.jar -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Dignore.endorsed.d
  tomcat       885     881 69 10:42 ?        00:00:17 jsvc.exec -java-home /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.342.b07-0.hce2.x86_64/jre -user tomcat -pidfile /usr/local/tomcat/logs/catalina-daemon.pid -wait 10 -umask 0027 -outfile /usr/local/tomcat/logs/catalina-daemon.out -errfile &1 -classpath /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/commons-daemon.jar:/usr/local/tomcat/bin/tomcat-juli.jar -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Dignore.endorsed.d
  root        1900    1850  0 10:43 pts/0    00:00:00 grep --color=auto tomcat
  

  一个root, 一个tomcat账户为正常.

  相关介绍:

  • tomcat多实例部署

  • 非Root用户运行Tomcat

• 其余参考

  • Difference between two ways of installing tomcat as a service (Linux)

  • Tomcat 安全

  • Tomcat安全管理规范