Qual é a maneira preferida de usar números de porta baixos no linux?

Question

Qual é a maneira preferida de usar números de porta baixos no linux?

#1 resposta do (1 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

1

Resumindo: Eu quero que o Glassfish ouça a porta 80 para que você não tenha que especificar a porta ao digitar o URL, mas o linux não permite usar números de porta baixos sem rootfish root e running, pois root é um risco de segurança.

Qual é a melhor maneira de contornar isso? Fazendo algum tipo de exceção para que o glassfish sozinho possa ouvi-la, usando algum outro programa para encaminhar solicitações da porta 80 para alguma outra porta? Talvez haja alguma maneira de dar permissão a glassfish apenas para usar qualquer porta sem realmente dar root?

networking

por leinaD_natipaC 02.03.2015 / 12:58

3 respostas

Tags networking

Como remover pacotes de desktops indesejados do debian sem excluir tudo? Como o Linux impede que os aplicativos enviem mais pacotes do que o link pode manipular sem eliminar pacotes?

score 1 · Answer 1

What is the best way to get around this?

O que é dado no glassfish em si.

Direto de linux-service.template :

# Example commands that demonstrate how to run GlassFish on the "special" ports < 1024
#
# iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
# iptables -t nat -A PREROUTING -p udp -m udp --dport 80 -j REDIRECT --to-ports 8080

Sim, seria bom se o glassfish pudesse receber um descritor de arquivos de escuta para que pudesse ser executado sob algo como s6-tcpserver ou ativado por soquete pelo systemd. Não é projetado para operar em qualquer coisa assim, no entanto.

Leitura adicional

Byron Nevins (2010-03-04). "Como permitir que o GlassFish V3 use portas menores que 1024". Execute o GlassFish V3 como um serviço não-root no Linux Ubuntu / Debian . Oracle Corporation.
create-service . Manual de Referência do Oracle GlassFish Server . Lançamento 3.1.2.
start-domain . Manual de Referência do Oracle GlassFish Server . Lançamento 3.1.2.

score 0 · Answer 2

Você poderia usar uma cópia do bash ...
O que quero dizer é que você poderia fazer uma versão separada do bash em um dos seus diretórios $PATH e chamá-lo bash1 ou algo assim.
Então o que você poderia fazer é dar permissões diferentes para que você pudesse rodar glassfish com bash1 ao invés de bash.
Isso significaria que tyat bash permaneceria inalterado e você teria sua própria versão de permissões separadas do bash para instâncias como glassfish . A única desvantagem é que isso significaria que você teria que regulamentar isso apenas para certos programas e usuários ou todo o sistema poderia ser solapado ...

score 0 · Answer 3

Embora não seja tão usado quanto antes, o 'chroot' é uma ferramenta que melhora a segurança de processos que devem ser executados com privilégios de root. É preciso um esforço extra, pois você está criando uma pasta / virtual com todos os arquivos que seu aplicativo precisa, incluindo bibliotecas (compilado o programa estaticamente vinculado) Dessa forma, se algum processo quebrar sua segurança, ele estará em um sandbox limitado. Obviamente você tira todos os programas de suporte desnecessários, como editores e ferramentas de rede.

Um dos métodos preferidos de executar bind / named usa isso, então isso pode ser um bom guia sobre como configurar isso.

Verifique o link para obter mais detalhes.