在非root用户下启动tomcat 9

Question

道歉可能是个愚蠢的问题，但我对Tomcat（以及Linux）的经验很少。 我已经推出了一个全新的AWS Ubuntu 16.04，安装了Java 8（用于我们的应用程序兼容性要求）和Tomcat9（在/ opt / tomcat9文件夹中）。我创建了一个tomcat9用户，我打算在其下运行Tomcat。我已将ssl证书复制到/ etc / ssl-keystore并在 server.xml

中设置ssl连接器

<Connector SSLEnabled="true" keystoreFile="/etc/ssl-keystore/mycert.pfx"
keystorePass="mypassword" port="443" scheme="https" secure="true"
sslProtocol="TLS" maxPostSize="104857600" maxHttpHeaderSize="204800" />

我已将/ opt / tomcat9文件夹的所有权更改为 tomcat9 用户：

chown -hR tomcat9: /opt/tomcat9

如果我使用

启动tomcat

sudo -u tomcat9 /opt/tomcat9/bin/startup.sh

我在 catalina.out ：

中收到此错误

05-Jun-2018 12:42:39.112 SEVERE [main] org.apache.catalina.util.LifecycleBase.handleSubClassException Failed to initialize component [Connector[HTTP/1.1-443]]
 org.apache.catalina.LifecycleException: Protocol handler initialization failed
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:935)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:530)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136)
        at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:852)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:622)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:645)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:311)
        at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:494)
Caused by: java.net.SocketException: Permission denied
        at sun.nio.ch.Net.bind0(Native Method)
        at sun.nio.ch.Net.bind(Net.java:433)
        at sun.nio.ch.Net.bind(Net.java:425)
        at sun.nio.ch.ServerSocketChannelImpl.bind(ServerSocketChannelImpl.java:223)
        at sun.nio.ch.ServerSocketAdaptor.bind(ServerSocketAdaptor.java:74)
        at org.apache.tomcat.util.net.NioEndpoint.initServerSocket(NioEndpoint.java:227)
        at org.apache.tomcat.util.net.NioEndpoint.bind(NioEndpoint.java:202)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:939)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:575)
        at org.apache.coyote.http11.AbstractHttp11Protocol.init(AbstractHttp11Protocol.java:70)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:932)
        ... 13 more

您能否告知我缺少什么或应该添加什么许可？我已经花了很多时间研究这个（包括stackoverflow网站）并阅读了多个教程但我无法找到相关/有用的答案。非常感谢你。

Answer 1

默认情况下，非root用户无法绑定到特权低端口。前1024个端口受到限制，您尝试绑定到443。

如果你坚持这样做而不是在端口8080上运行TLS termination proxy尝试以下答案。他们建议setcap来解决它：

• Is there a way for non-root processes to bind to “privileged” ports on Linux?
• Allow non-root process to bind to port 80 and 443?