我负责设置一个通过 SSL 运行的 JBoss Web 应用程序,因此应该可以通过端口 443 进行访问。
当然,它可以由具有root权限的用户启动,但这是我想避免的。我想由非特权用户运行它,这样我就可以严格控制该应用程序所做的一切,并且不会提供超出需要的访问权限。
但是,问题是非特权用户无法绑定到 <1024 端口。我知道设计上如此的原因,但是,这个安全原则不允许我对 JBoss 应用程序实现良好的安全性。
解决这个问题的最佳方法是什么?我当然希望避免像绑定到端口 8443 这样丑陋的解决方案。
答案1
我最近正在研究类似的问题,试图让一些服务器守护进程作为自己的用户运行,而不必做那些令人恐惧的事情sudo ./startup.sh......
如果您有任何空闲端口,您可以指定一个端口将流量路由到您真正想要的地方。不碰书本为你在这里,我认为在这种情况下您可以通过将 IPTABLES 配置为 root 将非特权端口路由到您想要使用的端口来获得您想要的结果,或者authbind如果您可以通过编译或通过 yum/rpm/apt-get/whatever 为您的系统获取它,请使用它。
如果您搜索有关使用端口 80(您可能用于加载此页面的默认 Web 流量端口)等问题的答案,您将找到大量解决方案。例如这个关于让 Tomcat 在端口 80 而不是默认的 8080 上运行。