特定のLinuxユーザーがポート443にバインドできるようにする

特定のLinuxユーザーがポート443にバインドできるようにする

私はSSLを介して実行されるJBoss Webアプリケーションの設定を担当しているので、ポート443を介してアクセスできる必要があります。

もちろん、root権限を持つユーザーが起動することもできますが、私はそのようなことを避けたいと思います。権限のないユーザーがアプリケーションを実行して、アプリケーションが実行するすべての操作を厳密に制御し、必要以上のアクセス権を付与しないようにします。

ただし、問題は、権限のないユーザーがポート<1024にバインドできないことです。これの設計理由を理解していますが、このセキュリティ原則ではJBossアプリケーションの優れたセキュリティを達成することはできません。

この問題を解決するための最良の方法は何ですか?ポート8443にバインドするなどの見苦しい解決策は間違いなく避けたいと思います。

答え1

私は最近同様の問題を解決していましたが、怖いことをせずにいくつかのサーバーデーモンが自分のユーザーとして実行されるようにしましたsudo ./startup.sh

利用可能なポートがある場合は、実際に目的の場所にトラフィックをルーティングするポートを指定できます。本に触れないでくださいあなたのためここでは、IPTABLESをrootとして設定して、権限のないポートを使用したいポートにルーティングすると、望ましい結果が得られると思います。またはauthbindコンパイルするか、yum/rpm/apt-get/whatever を使用してシステムで使用できる場合は、それを使用します。

ポート80(このページの読み込みに使用されるデフォルトのWebトラフィックポート)を使用するなどの質問に対する回答を検索すると、多くのソリューションが見つかります。例えばこれデフォルトの8080ではなく、ポート80でTomcatを実行することに関連しています。

関連情報