Permitir que usuário linux específico associe-se à porta 443

1

Eu sou responsável por configurar um aplicativo da web JBoss que é executado por SSL, portanto, deve ser acessível pela porta 443.

Claro, pode ser iniciado pelo usuário com privilégios de root, mas isso é algo que eu gostaria de evitar. Eu gostaria de executá-lo por usuário não privilegiado para que eu possa controlar rigorosamente tudo o que este aplicativo faz e não dar mais acesso do que o necessário.

No entanto, o problema é que usuários não privilegiados não podem se vincular a < 1024 portas. Estou ciente das razões pelas quais isso acontece por padrão, no entanto, esse princípio de segurança não permite que eu pratique uma boa segurança com meu aplicativo JBoss.

Qual é a melhor maneira de resolver isso? Eu certamente gostaria de evitar uma solução feia como ligação para a porta 8443.

    
por Passiday 25.07.2015 / 23:29

1 resposta

1

Estou trabalhando em um problema semelhante ultimamente, tentando fazer com que alguns daemons de servidor sejam executados como seus próprios usuários, em vez de ter que fazer o sempre assustador sudo ./startup.sh ...

Se você tiver alguma porta livre, você pode designar uma para rotear o tráfego onde você realmente quer. Sem bater os livros para você aqui, eu acho que você pode conseguir o que quer neste caso configurando IPTABLES como root para rotear uma porta não privilegiada para a que você quer usar, < em> ou usando authbind se você puder obtê-lo para o seu sistema, compilando ou via yum / rpm / apt-get / whatever.

Se você procurar respostas sobre problemas ao usar, por exemplo, porta 80 (a porta de tráfego da web padrão que você provavelmente usou para carregar essa página), você encontrará um bom número de soluções. Por exemplo, este sobre a obtenção do Tomcat executado na porta 80 em vez de seu padrão 8080.

    
por 26.07.2015 / 08:30

Tags