ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] tomcat5 -- 80 port
@ 2005-03-25 22:39 Jury Levykin
  2005-03-26  3:15 ` Alexey Borovskoy
  2005-03-26  8:05 ` Jury Levykin
  0 siblings, 2 replies; 10+ messages in thread
From: Jury Levykin @ 2005-03-25 22:39 UTC (permalink / raw)
  To: community

Дистрибутив ALM 2.4

Хочу запустить томкат на 80 порту, а апач на 8080.
Делаю следующее:

1. Выгружаю httpd
# service httpd stop

2. Меняю в server.xml Connector port="80" и redirectPort="443"
<Connector port="80"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" redirectPort="443" acceptCount="100"
               connectionTimeout="20000" disableUploadTimeout="true" />

3. Запускаю tomcat и получаю в catalina.out следующие ошибки:
Mar 26, 2005 1:27:03 AM org.apache.coyote.http11.Http11Protocol init
SEVERE: Error initializing endpoint
java.net.BindException: Permission denied:80
        at 
org.apache.tomcat.util.net.PoolTcpEndpoint.initEndpoint(PoolTcpEndpoint.java:297)
        at 
org.apache.coyote.http11.Http11Protocol.init(Http11Protocol.java:142)
 . . .
SEVERE: Catalina.start
LifecycleException:  Protocol handler initialization failed: 
java.net.BindException: Permission denied:80
        at 
org.apache.catalina.connector.Connector.initialize(Connector.java:920)
 . . .

У меня такое ощущение, что система не пускает tomcat на 80 порт,
может такое быть?
Или я просто неправильно настроил tomcat?



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] tomcat5 -- 80 port
  2005-03-25 22:39 [Comm] tomcat5 -- 80 port Jury Levykin
@ 2005-03-26  3:15 ` Alexey Borovskoy
  2005-03-26 20:32   ` Jury Levykin
  2005-03-27 19:33   ` [Comm] " Jury Levykin
  2005-03-26  8:05 ` Jury Levykin
  1 sibling, 2 replies; 10+ messages in thread
From: Alexey Borovskoy @ 2005-03-26  3:15 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1108 bytes --]

* Суббота 26 Март 2005 10:39 Jury Levykin <altcomm@list.ru>

> Дистрибутив ALM 2.4
>
> Хочу запустить томкат на 80 порту, а апач на 8080.
> Делаю следующее:

А зачем? Если в доке на томкет написано что  нельзя так делать.

> 3. Запускаю tomcat и получаю в catalina.out следующие ошибки:
> Mar 26, 2005 1:27:03 AM
> org.apache.coyote.http11.Http11Protocol init SEVERE: Error
> initializing endpoint
> java.net.BindException: Permission denied:80

Порты ниже 1024 можно прослушивать только руту. Обычно задача 
открывает порт, сбрасывает с себя привелегии рута и затем 
форкается в чрут. Ява-машина форкаться не умеет.

> У меня такое ощущение, что система не пускает tomcat на 80
> порт, может такое быть?
> Или я просто неправильно настроил tomcat?

Во всех доках на томкет рекомендуется его вывешивать на порт 
8080. Затем с помощью апача на 80 порту вывесить томкет наружу. 
Томкет и апач разговаривают между собой через коннектор mod_jk.
Кстати, mod_jk2 больше не поддерживается, все его вкусности 
перенесены в mod_jk.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] tomcat5 -- 80 port
  2005-03-25 22:39 [Comm] tomcat5 -- 80 port Jury Levykin
  2005-03-26  3:15 ` Alexey Borovskoy
@ 2005-03-26  8:05 ` Jury Levykin
  1 sibling, 0 replies; 10+ messages in thread
From: Jury Levykin @ 2005-03-26  8:05 UTC (permalink / raw)
  To: community

Jury Levykin пишет:

> У меня такое ощущение, что система не пускает tomcat на 80 порт,
> может такое быть?

Помог запуск в качестве демона с помощью jsvc.


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] tomcat5 -- 80 port
  2005-03-26  3:15 ` Alexey Borovskoy
@ 2005-03-26 20:32   ` Jury Levykin
  2005-03-27 17:22     ` [Comm] " Michael Shigorin
  2005-03-27 19:33   ` [Comm] " Jury Levykin
  1 sibling, 1 reply; 10+ messages in thread
From: Jury Levykin @ 2005-03-26 20:32 UTC (permalink / raw)
  To: community

Alexey Borovskoy пишет:

>* Суббота 26 Март 2005 10:39 Jury Levykin <altcomm@list.ru>
>  
>
>>Дистрибутив ALM 2.4
>>
>>Хочу запустить томкат на 80 порту, а апач на 8080.
>>Делаю следующее:
>>    
>>
>
>А зачем? Если в доке на томкет написано что  нельзя так делать.
>  
>
http://www.klawitter.de/tomcat80.html

>>3. Запускаю tomcat и получаю в catalina.out следующие ошибки:
>>Mar 26, 2005 1:27:03 AM
>>org.apache.coyote.http11.Http11Protocol init SEVERE: Error
>>initializing endpoint
>>java.net.BindException: Permission denied:80
>>    
>>
>
>Порты ниже 1024 можно прослушивать только руту. Обычно задача 
>открывает порт, сбрасывает с себя привелегии рута и затем 
>форкается в чрут. Ява-машина форкаться не умеет.
>
>  
>
>>У меня такое ощущение, что система не пускает tomcat на 80
>>порт, может такое быть?
>>Или я просто неправильно настроил tomcat?
>>    
>>
>
>Во всех доках на томкет рекомендуется его вывешивать на порт 
>8080. Затем с помощью апача на 80 порту вывесить томкет наружу. 
>Томкет и апач разговаривают между собой через коннектор mod_jk.
>Кстати, mod_jk2 больше не поддерживается, все его вкусности 
>перенесены в mod_jk.
>  
>
Это если нужно использовать их вместе, но мне апач практически не нужен.
Все работает на томкате, а апач ипользуется только для внутреннего 
использования
поэтому для апача порт 8080 или любой другой вполне подойдет.


^ permalink raw reply	[flat|nested] 10+ messages in thread

* [Comm] Re: tomcat5 -- 80 port
  2005-03-26 20:32   ` Jury Levykin
@ 2005-03-27 17:22     ` Michael Shigorin
  2005-03-27 19:20       ` Jury Levykin
  0 siblings, 1 reply; 10+ messages in thread
From: Michael Shigorin @ 2005-03-27 17:22 UTC (permalink / raw)
  To: community

On Sat, Mar 26, 2005 at 11:32:09PM +0300, Jury Levykin wrote:
> Это если нужно использовать их вместе, но мне апач практически не нужен.

Эээ...  Вам действительно объяснили, зачем.  И Алексей вместе с
доками прав на 100%.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] Re: tomcat5 -- 80 port
  2005-03-27 17:22     ` [Comm] " Michael Shigorin
@ 2005-03-27 19:20       ` Jury Levykin
  2005-03-28 13:44         ` Alexey Borovskoy
  0 siblings, 1 reply; 10+ messages in thread
From: Jury Levykin @ 2005-03-27 19:20 UTC (permalink / raw)
  To: community

Michael Shigorin пишет:

>On Sat, Mar 26, 2005 at 11:32:09PM +0300, Jury Levykin wrote:
>  
>
>>Это если нужно использовать их вместе, но мне апач практически не нужен.
>>    
>>
>
>Эээ...  Вам действительно объяснили, зачем.  И Алексей вместе с
>доками прав на 100%.
>  
>
Честно говоря, я не видел документов по tomcat в которых говориться, что
запускать его на 80 порту не рекомендуется. Но видел документы в которых
говориться как это сделать:

Запуск в качестве демона - 
http://jakarta.apache.org/tomcat/tomcat-5.5-doc/setup.html
Вы считаете, что запуск tomcat таким образом создает проблемы с 
безопасностью?

http://jakarta.apache.org/tomcat/tomcat-5.5-doc/ssl-howto.html
"The |port| attribute (default value is 8443) is the TCP/IP port number 
on which Tomcat will listen for secure connections. You can change this 
to any port number you wish (such as to the default port for |https| 
communications, which is 443). However, special setup (outside the scope 
of this document) is necessary to run Tomcat on port numbers lower than 
1024 on many operating systems."
Здесь говорится, что запуск на портах  < 1024 потребует выполнить 
специальные установки на многих ОС.


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] tomcat5 -- 80 port
  2005-03-26  3:15 ` Alexey Borovskoy
  2005-03-26 20:32   ` Jury Levykin
@ 2005-03-27 19:33   ` Jury Levykin
  1 sibling, 0 replies; 10+ messages in thread
From: Jury Levykin @ 2005-03-27 19:33 UTC (permalink / raw)
  To: community

Alexey Borovskoy пишет:

>* Суббота 26 Март 2005 10:39 Jury Levykin <altcomm@list.ru>
>  
>
>А зачем? Если в доке на томкет написано что  нельзя так делать.
>  
>
Пришлите пожалуйста ссылку на этот документ.
Хочется разобраться прав я или нет.

>>3. Запускаю tomcat и получаю в catalina.out следующие ошибки:
>>Mar 26, 2005 1:27:03 AM
>>org.apache.coyote.http11.Http11Protocol init SEVERE: Error
>>initializing endpoint
>>java.net.BindException: Permission denied:80
>>    
>>
>
>Порты ниже 1024 можно прослушивать только руту. Обычно задача 
>открывает порт, сбрасывает с себя привелегии рута и затем 
>форкается в чрут. Ява-машина форкаться не умеет.
>  
>
Но запуск в качестве демона (с помощью jsvc) выполняет программа 
написанная на Си,
которая запускает два процесса один от имени root а другой от имени tomcat5

вот эти процессы:
# ps aux | grep tomcat
root      8551  0.0  0.1  1392  516 ?        S    22:22   0:00 jsvc.exec 
-user tomcat5 -home /usr/java/jdk1.5.0_02 
-Dcatalina.home=/usr/local/tomcat/5.5 -Djava.io.tmpdir=/var/tmp -outfile 
/usr/local/tomcat/5.5/logs/catalina.out -errfile &1 -cp 
/usr/java/jdk1.5.0_02/lib/tools.jar:/usr/local/tomcat/5.5/bin/commons-daemon
tomcat5   8552  0.2  8.5 350744 44332 ?      S    22:22   0:16 jsvc.exec 
-user tomcat5 -home /usr/java/jdk1.5.0_02 
-Dcatalina.home=/usr/local/tomcat/5.5 -Djava.io.tmpdir=/var/tmp -outfile 
/usr/local/tomcat/5.5/logs/catalina.out -errfile &1 -cp 
/usr/java/jdk1.5.0_02/lib/tools.jar:/usr/local/tomcat/5.5/bin/commons-daemon

Этот способ рекомендован jakarta.apache.org на странице Setup:
http://jakarta.apache.org/tomcat/tomcat-5.5-doc/setup.html

Вы считаете это дырка в безопасности?


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] Re: tomcat5 -- 80 port
  2005-03-27 19:20       ` Jury Levykin
@ 2005-03-28 13:44         ` Alexey Borovskoy
  2005-03-31  9:35           ` Jury Levykin
  0 siblings, 1 reply; 10+ messages in thread
From: Alexey Borovskoy @ 2005-03-28 13:44 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1372 bytes --]

* Понедельник 28 Март 2005 08:20 Jury Levykin <altcomm@list.ru>

> Michael Shigorin пишет:
> >On Sat, Mar 26, 2005 at 11:32:09PM +0300, Jury Levykin wrote:
> >>Это если нужно использовать их вместе, но мне апач
> >> практически не нужен.
> >
> >Эээ...  Вам действительно объяснили, зачем.  И Алексей вместе
> > с доками прав на 100%.
>
> Честно говоря, я не видел документов по tomcat в которых
> говориться, что запускать его на 80 порту не рекомендуется. Но
> видел документы в которых говориться как это сделать:
>
> Запуск в качестве демона -
> http://jakarta.apache.org/tomcat/tomcat-5.5-doc/setup.html
> Вы считаете, что запуск tomcat таким образом создает проблемы
> с безопасностью?

jsvc был создан с единственной целью: упростить управление 
сервисами на базе явы. При завершении работы томкета, он 
контролирует правильное сворачивание явамашины. Хорошо 
нагруженный томкет в связке с сервером J2EE (Geronimo,Jonas) 
останавливается достаточно долго. Разрушение явамашины с помощью 
kill, подобно термоядерному фугасу.

Идем дальше, осуществляем DDOS-атаку на незащищенный апачем 
томкет. Что произойдет? Явамашина будет кушать память, мусорщик 
(GC) не будет успевать убирать, явамашина съест всю память и с 
грохотом помрет от голода.

Не зря же придумали mod_jk для апача.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] Re: tomcat5 -- 80 port
  2005-03-28 13:44         ` Alexey Borovskoy
@ 2005-03-31  9:35           ` Jury Levykin
  2005-03-31 14:24             ` Alexey Borovskoy
  0 siblings, 1 reply; 10+ messages in thread
From: Jury Levykin @ 2005-03-31  9:35 UTC (permalink / raw)
  To: community

Alexey Borovskoy пишет:

>>Честно говоря, я не видел документов по tomcat в которых
>>говориться, что запускать его на 80 порту не рекомендуется. Но
>>видел документы в которых говориться как это сделать:
>>
>>Запуск в качестве демона -
>>http://jakarta.apache.org/tomcat/tomcat-5.5-doc/setup.html
>>Вы считаете, что запуск tomcat таким образом создает проблемы
>>с безопасностью?
>>    
>>
>
>jsvc был создан с единственной целью: упростить управление 
>сервисами на базе явы. При завершении работы томкета, он 
>контролирует правильное сворачивание явамашины. Хорошо 
>нагруженный томкет в связке с сервером J2EE (Geronimo,Jonas) 
>останавливается достаточно долго. Разрушение явамашины с помощью 
>kill, подобно термоядерному фугасу.
>
>Идем дальше, осуществляем DDOS-атаку на незащищенный апачем 
>томкет. Что произойдет? Явамашина будет кушать память, мусорщик 
>(GC) не будет успевать убирать, явамашина съест всю память и с 
>грохотом помрет от голода.
>
>Не зря же придумали mod_jk для апача.
>  
>
Я задал вопрос по поводу каой способ безопаснее в списке рассылки

"Tomcat Users List" <tomcat-user@jakarta.apache.org>
------------------------------------------------------
Hello!
I use tomcat 5.5 as main web server at Linux host. Me need run tomcat in
port 80.

To solve this task I see two way:
1. Running tomcat as daemon in port 80 by jsvc command.
2. Running apache in port 80 and use mod_jk to redirect users request to
tomcat.

What way is most secure?
-----------------------------------------------------

И получил единогласный ответ, что безопаснее и удобнее использовать jsvc.
---------------------------
At a guess, I'd say the first one. It has a few advantages :-

1: It's pure java so you're unlikely to get bitten by buffer overflow.
2: It's easier to configure (everything in one place) so you're less likely to
make a mistake when setting up the system.

Yours,
Pete Stevens
-------------------------------------------
Все письма можно посмотреть здесь:
http://mail-archives.eu.apache.org/mod_mbox/jakarta-tomcat-user/200503.mbox/threads.html
Subject: Tomcat -- port 80 for Linux



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [Comm] Re: tomcat5 -- 80 port
  2005-03-31  9:35           ` Jury Levykin
@ 2005-03-31 14:24             ` Alexey Borovskoy
  0 siblings, 0 replies; 10+ messages in thread
From: Alexey Borovskoy @ 2005-03-31 14:24 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 2470 bytes --]

* Четверг 31 Март 2005 22:35 Jury Levykin <altcomm@list.ru>

> Alexey Borovskoy пишет:
> >>Честно говоря, я не видел документов по tomcat в которых
> >>говориться, что запускать его на 80 порту не рекомендуется.
> >> Но видел документы в которых говориться как это сделать:
> >>
> >>Запуск в качестве демона -
> >>http://jakarta.apache.org/tomcat/tomcat-5.5-doc/setup.html
> >>Вы считаете, что запуск tomcat таким образом создает
> >> проблемы с безопасностью?
> >
> >jsvc был создан с единственной целью: упростить управление
> >сервисами на базе явы. При завершении работы томкета, он
> >контролирует правильное сворачивание явамашины. Хорошо
> >нагруженный томкет в связке с сервером J2EE (Geronimo,Jonas)
> >останавливается достаточно долго. Разрушение явамашины с
> > помощью kill, подобно термоядерному фугасу.
> >
> >Идем дальше, осуществляем DDOS-атаку на незащищенный апачем
> >томкет. Что произойдет? Явамашина будет кушать память,
> > мусорщик (GC) не будет успевать убирать, явамашина съест всю
> > память и с грохотом помрет от голода.
> >
> >Не зря же придумали mod_jk для апача.
>
> Я задал вопрос по поводу каой способ безопаснее в списке
> рассылки
>
> "Tomcat Users List" <tomcat-user@jakarta.apache.org>
> ------------------------------------------------------
> Hello!
> I use tomcat 5.5 as main web server at Linux host. Me need run
> tomcat in port 80.
>
> To solve this task I see two way:
> 1. Running tomcat as daemon in port 80 by jsvc command.
> 2. Running apache in port 80 and use mod_jk to redirect users
> request to tomcat.
>
> What way is most secure?
> -----------------------------------------------------
>
> И получил единогласный ответ, что безопаснее и удобнее
> использовать jsvc. ---------------------------
> At a guess, I'd say the first one. It has a few advantages :-
>
> 1: It's pure java so you're unlikely to get bitten by buffer
> overflow. 2: It's easier to configure (everything in one
> place) so you're less likely to make a mistake when setting up
> the system.
>
> Yours,
> Pete Stevens
> -------------------------------------------
> Все письма можно посмотреть здесь:
> http://mail-archives.eu.apache.org/mod_mbox/jakarta-tomcat-use
>r/200503.mbox/threads.html Subject: Tomcat -- port 80 for Linux

Хостинг Ваш и Вам решать. Я то здесть причем.

Я привык доверять двум своим штуковинам: интуиции и здоровой 
паранойе сисадмина.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 10+ messages in thread

end of thread, other threads:[~2005-03-31 14:24 UTC | newest]

Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-03-25 22:39 [Comm] tomcat5 -- 80 port Jury Levykin
2005-03-26  3:15 ` Alexey Borovskoy
2005-03-26 20:32   ` Jury Levykin
2005-03-27 17:22     ` [Comm] " Michael Shigorin
2005-03-27 19:20       ` Jury Levykin
2005-03-28 13:44         ` Alexey Borovskoy
2005-03-31  9:35           ` Jury Levykin
2005-03-31 14:24             ` Alexey Borovskoy
2005-03-27 19:33   ` [Comm] " Jury Levykin
2005-03-26  8:05 ` Jury Levykin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git