Linux普通账户启动应用程序时监听1024以下端口好方法
ahcoder 2025-04-06 13:11 18 浏览
背景:当你试图以普通账户启动Tomcat和Apache服务时,如果你在配置文件中设置的监听端口是443或80端口时,你会发现应用启动失败,同时在日志里面会输出错误,提示没有权限绑定端口,这是因为默认情况下1024以下端口被称为特权端口(保留端口),只能被root启动的进程监听。
常用的解决办法如下:
第一种办法:直接赋予应用程序(可执行文件)root权限
从安全的角度来说,这种方法是不可取的,因为一旦应用有配置漏洞或代码漏洞,被骇客入侵利用的话,骇客能够获得这台服务器的最高root权限,所以使用没有远程访问权限的普通账户运行互联网访问的应用程序是从系统安全角度出发的常规方法。
第二种办法:使用Linux系统自带软件防火墙(iptables或firewalld)的端口转发功能
当从网络访问服务器的某个端口时,通过系统自带软件防火墙转发机制,转发到这台服务器上应用程序真正监听的端口,其实应用程序启动的时候还是监听的是1024以上端口号(动态端口),比如Tomcat和Apache通常使用8443端口或8080端口。这种方法的优点是安全,部署应用的人员无需做额外配置,只需要系统管理员打开系统防火墙并设置端口转发,缺点是不利于后期排错,应用程序启动的是一个端口,但是外部访问的时候却是另外一个端口,在遇到问题时,你可能查了半天才发现原来是系统防火墙没有启动,或者系统软件防火墙的端口转发规则被系统管理员删除了。
第三种办法:利用Linux的"能力",使用setcap命令赋予应用程序具有监听1024以下端口的权限
Linux内核从2.1版开始,具有了能力(capability)的概念,它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,普通用户也可以做只有超级用户可以完成的工作。Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。
这种方法使用方便,系统管理员只需要执行一条命令,相对第一种方法又更安全,此种方法的局限性是赋予权限的程序必须是一个二进制可执行文件,对脚夲无效,如果这个二进制可执行文件被更新,必须重新赋予权限。命令示例如下。
赋予httpd应用程序可监听1024以下端口权限:
#setcap CAP_NET_BIND_SERVICE+ep /usr/sbin/httpd
查看赋予的能力权限命令示例如下:
#getcap /usr/sbin/httpd
移除赋予的能力权限命令示例如下:
#setcap -r /usr/sbin/httpd
上面的示例只是展示了Linux能力的其中一项赋予普通帐户启动应用程序监听1024以下端口的能力,比如普通帐户启动的应用程序需要抓包能力也可以用setcap命令,但命令所带能力选项不同。
赋予一个应用程序最小的能满足程序正常运行的合适的权限是系统管理员必须坚持的一项原则,通常在一个企业里系统管理员和业务运维人员是两个不同的团队,系统管理员具有超级用户权限,具体业务运维人员只有个人帐户登录权限和运行应用的功能帐户权限。
相关推荐
- PC也能装MAX OS X
-
MACBOOK向来以其时尚的外观以及易用的OSX操作系统成为了时(zhuang)尚(bi)人士的最爱。但是其动不动就上万元的昂贵价格,也将一批立志时(zhuang)尚(bi)人士的拒之门外。但是最近...
- 一千多元的笔记本能买吗?英特尔11代+大屏幕,豆小谷值得选吗?
-
前言:有很多粉丝都问过本人,一千多元到底能买到什么样的笔记本?在此笔者只想说,这样的资金预算真的太低了!如果想买全新的,那大概率买的就是性能比较拉垮的上网本,比如搭载英特赛扬N系列、J系列处理器的轻薄...
- 首款配备骁龙X Elite处理器的Linux笔记本:采用KDE Plasma桌面环境
-
德国Linux硬件供应商TUXEDOComputers宣布正在开发一款配备高通骁龙XElite处理器(SnapdragonXEliteSoC)的ARM笔记本电脑,内部将该...
- System76推出Gazelle Linux笔记本:配酷睿i9-13900H处理器
-
IT之家3月30日消息,主打Linux硬件的厂商System76于今天发布了新一代Gazelle笔记本电脑,共有15英寸和17英寸两个版本,将于3月30日接受预订,...
- Kubuntu Focus Xe Gen 2笔记本发布,预装Linux系统
-
IT之家3月25日消息,KubuntuFocusXeGen2笔记本于近日发布,这是一款预装Kubuntu22.04LTSGNU/Linux发行版的轻薄本。上一代Kub...
- 这台Linux笔记本已用上英特尔12代酷睿,最高可选i7-1255U、卖1149美元起
-
Linux笔记本可能因为比较小众,一般都是拿Windows笔记本换个系统而来,硬件上也会落后同期Windows笔记本一两代,不过现在专门做Linux电脑的System76,推出了一款名为LemurP...
- 戴尔Inspiron 14 Plus骁龙笔记本迎新补丁,支持启动Linux
-
IT之家4月25日消息,科技媒体phoronix今天(4月25日)发布博文,报道称最新发布的Linux内核补丁,针对骁龙芯片的戴尔Inspiron14Plus笔记本,让其...
- TUXEDO推出InfinityFlex 14二合一Linux笔记本,配i5-1335U
-
IT之家8月12日消息,Linux硬件企业TUXEDO当地时间本月2日推出了InfinityFlex14二合一Linux笔记本。该笔记本搭载2+8核的英特尔酷睿i5-...
- 登月探测器嫦娥使用什么操作系统,是Linux还是其它自主研发?
-
这是不是国家机密啊。事实什么样的不知道,但是从美国的探测器来看,就算不是也是相似的东西。下面我来说说我知道的。龙芯已经随北斗卫星上天了.就算登月探测器嫦娥是用"龙芯+Linux"也不出奇.没必要...
- DNS分离解析实验
-
如果本文对你有帮助,欢迎关注、点赞、收藏、转发给朋友,让我有持续创作的动力目录一、分离解析概述二、实验需求三、实验步骤3.1双网卡服务器配置3.1.1添加两张网卡(内外网)3.1.2对两个网卡进...
- 一个小实验巩固下进程管理
-
先回顾下之前的三篇文章:Linux进程在内核眼中是什么样子的?Linux进程线程是如何创建的?Linux是如何调度进程的?通过这三篇文章的学习我们知道,无论内核进程还是用户进程,都是可以用task...
- VMware Kali无线WIFI密码破解
-
WIFI破解前准备工作一张支持Kali系统监听的无线网卡VMware虚拟机安装好Kali系统(本实验用的是Kali2022版本)Kali系统下载、安装官方网站:https://www.kali.or...
- python多进程编程
-
forkwindows中是没有fork函数的,一开始直接在Windows中测试,直接报错importosimporttimeret=os.fork()ifret==0:...
- 拔电源十台电脑藏后门!德国实验惊曝Windows致命漏洞
-
2025年4月15日,央视突然曝出一个超级大新闻!原来美国国家安全局通过黑龙江,往微软Windows系统里发送加密信息,激活了系统里藏着的后门程序,想破坏哈尔滨亚冬会!这消息一出来,大家才发现,竟然已...
- 深度探索RK3568嵌入式教学平台实战案例:设备驱动开发实验
-
一、产品简介TL3568-PlusTEB人工智能实验箱国产高性能处理器64位4核低功耗2.0GHz超高主频1T超高算力NPU兼容鸿蒙等国产操作系统二、实验目的1、熟悉基本字符设备的驱动程序...
- 一周热门
- 最近发表
-
- PC也能装MAX OS X
- 一千多元的笔记本能买吗?英特尔11代+大屏幕,豆小谷值得选吗?
- 首款配备骁龙X Elite处理器的Linux笔记本:采用KDE Plasma桌面环境
- System76推出Gazelle Linux笔记本:配酷睿i9-13900H处理器
- Kubuntu Focus Xe Gen 2笔记本发布,预装Linux系统
- 这台Linux笔记本已用上英特尔12代酷睿,最高可选i7-1255U、卖1149美元起
- 戴尔Inspiron 14 Plus骁龙笔记本迎新补丁,支持启动Linux
- TUXEDO推出InfinityFlex 14二合一Linux笔记本,配i5-1335U
- 登月探测器嫦娥使用什么操作系统,是Linux还是其它自主研发?
- DNS分离解析实验
- 标签列表
-
- linux 远程 (37)
- u盘 linux (32)
- linux 登录 (34)
- linux 路径 (33)
- linux 文件命令 (35)
- linux 是什么 (35)
- linux 界面 (34)
- 查看文件 linux (35)
- linux 语言 (33)
- linux代码 (32)
- linux 查看命令 (33)
- 关闭linux (34)
- root linux (33)
- 删除文件 linux (35)
- linux 主机 (34)
- linux与 (33)
- linux 函数 (35)
- linux .ssh (35)
- cpu linux (35)
- 查看linux 系统 (32)
- linux 防火墙 (33)
- linux 手机 (32)
- linux 镜像 (34)
- linux mac (32)
- linux ip地址 (34)