百度360必应搜狗淘宝本站头条
linux 远程linux 文件命令linux 是什么查看文件 linux删除文件 linux
当前位置:网站首页 > 技术文章 > 正文

Linux普通账户启动应用程序时监听1024以下端口好方法

ahcoder 2025-04-06 13:11 59 浏览


背景:当你试图以普通账户启动Tomcat和Apache服务时,如果你在配置文件中设置的监听端口是443或80端口时,你会发现应用启动失败,同时在日志里面会输出错误,提示没有权限绑定端口,这是因为默认情况下1024以下端口被称为特权端口(保留端口),只能被root启动的进程监听。

常用的解决办法如下:

第一种办法:直接赋予应用程序(可执行文件)root权限

从安全的角度来说,这种方法是不可取的,因为一旦应用有配置漏洞或代码漏洞,被骇客入侵利用的话,骇客能够获得这台服务器的最高root权限,所以使用没有远程访问权限的普通账户运行互联网访问的应用程序是从系统安全角度出发的常规方法。

第二种办法:使用Linux系统自带软件防火墙(iptables或firewalld)的端口转发功能

当从网络访问服务器的某个端口时,通过系统自带软件防火墙转发机制,转发到这台服务器上应用程序真正监听的端口,其实应用程序启动的时候还是监听的是1024以上端口号(动态端口),比如Tomcat和Apache通常使用8443端口或8080端口。这种方法的优点是安全,部署应用的人员无需做额外配置,只需要系统管理员打开系统防火墙并设置端口转发,缺点是不利于后期排错,应用程序启动的是一个端口,但是外部访问的时候却是另外一个端口,在遇到问题时,你可能查了半天才发现原来是系统防火墙没有启动,或者系统软件防火墙的端口转发规则被系统管理员删除了。

第三种办法:利用Linux的"能力",使用setcap命令赋予应用程序具有监听1024以下端口的权限

Linux内核从2.1版开始,具有了能力(capability)的概念,它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,普通用户也可以做只有超级用户可以完成的工作。Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。

这种方法使用方便,系统管理员只需要执行一条命令,相对第一种方法又更安全,此种方法的局限性是赋予权限的程序必须是一个二进制可执行文件,对脚夲无效,如果这个二进制可执行文件被更新,必须重新赋予权限。命令示例如下。

赋予httpd应用程序可监听1024以下端口权限:

#setcap CAP_NET_BIND_SERVICE+ep /usr/sbin/httpd

查看赋予的能力权限命令示例如下:

#getcap /usr/sbin/httpd

移除赋予的能力权限命令示例如下:

#setcap -r /usr/sbin/httpd

上面的示例只是展示了Linux能力的其中一项赋予普通帐户启动应用程序监听1024以下端口的能力,比如普通帐户启动的应用程序需要抓包能力也可以用setcap命令,但命令所带能力选项不同。

赋予一个应用程序最小的能满足程序正常运行的合适的权限是系统管理员必须坚持的一项原则,通常在一个企业里系统管理员和业务运维人员是两个不同的团队,系统管理员具有超级用户权限,具体业务运维人员只有个人帐户登录权限和运行应用的功能帐户权限。

#LinuxABC#

相关推荐

Java程序员必备的Linux命令速查表

Java程序员必备的Linux命令速查表在Java开发的世界里,Linux就像一位默默支持的幕后英雄。作为一名Java开发者,掌握一些基本的Linux命令,不仅能提高工作效率,还能让你在团队中显得格外...

Linux 命令速查手册:这 30 个高频指令,拯救 90% 的运维小白!

在Linux系统的世界里,命令行是强大的武器。对于运维小白而言,掌握一些高频使用的Linux命令,能极大提升工作效率,轻松应对各种系统管理任务。今天,就为大家奉上精心整理的30个Linu...

linux磁盘管理相关命令(linux磁盘管理常用命令)

磁盘的使用情况会直接影响系统的性能,因此我们经常会用到以下命令,主要围绕:fdisk:磁盘分区df:文件系统的磁盘空间占用情况du:文件目录的磁盘空间占用情况查看磁盘关系lsblk查看磁盘分区情况fd...

第四章 Linux常用shell命令-4.5.磁盘管理

主要介绍一下跟磁盘管理相关命令,有比较多的内容摘抄自网络,如有侵权,请及时联系我删除:显示目前在Linux系统上的文件系统磁盘使用情况统计:df创建和维护分区表的程序:fdisk将磁盘分区或镜像挂...

Linux新手必备:20个高效命令轻松掌握!

Linux基本命令使用指南在现代计算机操作系统中,Linux因其开放性、灵活性和强大的功能,广泛应用于服务器和开发环境中。作为技术人员,掌握Linux的基本命令是非常重要的。在本文中,我们将重点介绍2...

每日必学Linux命令:ls命令(linux命令详解之ls命令)

ls命令是linux下最常用的命令。ls命令就是list的缩写缺省下ls用来打印出当前目录的清单如果ls指定其他目录那么就会显示指定目录里的文件及文件夹清单。通过ls命令不仅可以查看linux文件...

Linux系统dev和proc目录详解(linux dev/sr0)

简介:Linux系统里的/dev和/proc目录那可是相当重要的系统文件。在Linux系统中,/dev目录专门用来存放设备文件。不光有设备文件,系统里还有好多特殊功能也是通过设备的形式...

Linux切换目录之cd命令(linux切换指定目录)

1.基本概念1.1命令作用当我们在Linux系统上工作时,做得相当多的一项任务就是在不同的目录之间进行切换,这时就需要用到cd命令了。cd是"changedirectory"的首...

Linux切换目录(cd命令)(linux如何切换到目录)

cd命令,是ChangeDirectory的缩写,用来切换工作目录。Linux命令按照来源方式,可分为两种,分别是Shell内置命令和外部命令。所谓Shell内置命令,就是Shel...

MongoDB数据库的快速部署和启动(mongodb的使用教程)

一、Mongodb介绍常见数据库介绍关系数据库RDBMS设计表结构,通过SQL语句进行操作。连表关系常见的关系型数据库:mysqloracle(商业)DB2(IBM)sqlserver(微软...

5分钟学会网络服务搭建,飞凌i.MX9352 + Linux 6.1实战示例

在“万物互联”的技术浪潮下,网络服务已成为连接物理世界与数字世界的核心纽带,它不仅赋予了终端设备“开口说话”的能力,更构建了智能设备的开发范式。本文就将以飞凌嵌入式OK-MX9352-C开发板(搭载了...

centos安装geoserver并配置开机启动

前提条件:服务器已经安装了java环境一、下载下载地址:http://geoserver.org/release/maintain/下载后文件名为:geoserver-2.19.3-bin.zip二、...

开机启动流程(开机流程图)

grubandbootCentos5,6的开机启动流程grubCentos7的开机启动流程Centos5,6的开机启动流程initrd/initramfs一般存储在/boot目录下,以.img...

Linux cron服务概述(crontab服务)

cron是Linux/Unix系统中一个非常重要的后台服务(守护进程),用于在预定的时间间隔自动执行命令或脚本。它使得自动化重复性任务成为可能,例如日志清理、数据备份、系统维护等。1.cron...

CentOS 8利用rc.local进行开机自启动的配置

CentOS8利用rc.local进行开机自启动的配置CentOS8linux系统是不建议使用rc.local进行开机自启动的,建议创建systemdservice。我们为了方便以后多一个配置...

一周热门
最近发表
标签列表