背景：当你试图以普通账户启动Tomcat和Apache服务时，如果你在配置文件中设置的监听端口是443或80端口时，你会发现应用启动失败，同时在日志里面会输出错误，提示没有权限绑定端口，这是因为默认情况下1024以下端口被称为特权端口（保留端口），只能被root启动的进程监听。

常用的解决办法如下：

第一种办法：直接赋予应用程序（可执行文件）root权限

从安全的角度来说，这种方法是不可取的，因为一旦应用有配置漏洞或代码漏洞，被骇客入侵利用的话，骇客能够获得这台服务器的最高root权限，所以使用没有远程访问权限的普通账户运行互联网访问的应用程序是从系统安全角度出发的常规方法。

第二种办法：使用Linux系统自带软件防火墙（iptables或firewalld)的端口转发功能

当从网络访问服务器的某个端口时，通过系统自带软件防火墙转发机制，转发到这台服务器上应用程序真正监听的端口，其实应用程序启动的时候还是监听的是1024以上端口号（动态端口），比如Tomcat和Apache通常使用8443端口或8080端口。这种方法的优点是安全，部署应用的人员无需做额外配置，只需要系统管理员打开系统防火墙并设置端口转发，缺点是不利于后期排错，应用程序启动的是一个端口，但是外部访问的时候却是另外一个端口，在遇到问题时，你可能查了半天才发现原来是系统防火墙没有启动，或者系统软件防火墙的端口转发规则被系统管理员删除了。

第三种办法：利用Linux的"能力"，使用setcap命令赋予应用程序具有监听1024以下端口的权限

Linux内核从2.1版开始，具有了能力(capability)的概念，它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念，普通用户也可以做只有超级用户可以完成的工作。Capabilities的主要思想在于分割root用户的特权，即将root的特权分割成不同的能力，每种能力代表一定的特权操作。

这种方法使用方便，系统管理员只需要执行一条命令，相对第一种方法又更安全，此种方法的局限性是赋予权限的程序必须是一个二进制可执行文件，对脚夲无效，如果这个二进制可执行文件被更新，必须重新赋予权限。命令示例如下。

赋予httpd应用程序可监听1024以下端口权限：

#setcap CAP_NET_BIND_SERVICE+ep /usr/sbin/httpd

查看赋予的能力权限命令示例如下：

#getcap /usr/sbin/httpd

移除赋予的能力权限命令示例如下：

#setcap -r /usr/sbin/httpd

上面的示例只是展示了Linux能力的其中一项赋予普通帐户启动应用程序监听1024以下端口的能力，比如普通帐户启动的应用程序需要抓包能力也可以用setcap命令，但命令所带能力选项不同。

赋予一个应用程序最小的能满足程序正常运行的合适的权限是系统管理员必须坚持的一项原则，通常在一个企业里系统管理员和业务运维人员是两个不同的团队，系统管理员具有超级用户权限，具体业务运维人员只有个人帐户登录权限和运行应用的功能帐户权限。

#LinuxABC#