AIX非root用户80端口运行Apache

最新推荐文章于 2021-04-12 03:59:24 发布
最新推荐文章于 2021-04-12 03:59:24 发布
阅读量473 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/103794435
版权

在端口80上的非root用户下在AIX中运行Apache

UrbanBiel | 201289 游览(21507 

最近,有人问我,如果Apache以非特权(非root)帐户运行,是否可以绑定到端口80。当然,任何过程都可以使用RBAC

HTTP服务器

Apache HTTP Server在其配置文件中有一个指令,该进程应在​​该指令下运行用户帐户。但是,如果希望它在默认端口TCP / 80上侦听,则父进程必须在root用户下运行。Apacheroot身份打开端口80,然后派生子进程,这些子进程根据httpd.conf删除其有效的uidgid。有一些缺点:

  • 有些人只是觉得不够安全
  • 它还要求Apache必须由root用户控制

一种解决方案是在非特权端口(例如8080)上运行它并使用端口转发,或者使用负载平衡器/代理服务器。专业人员使用RBAC

首先,我们将Apache配置为在用户www下运行

aix71@/# mkgroup id=10000 www

aix71@/# mkuser id=10000 home=/var/www shell=/bin/ksh login=false pgrp=www groups=www www

aix71@/# mkdir -p /var/www

aix71@/# chown www.www /var/www

aix71@/# grep -E "^User|^Group" /etc/opt/freeware/apache/httpd.conf

User www

Group www

aix71@/# grep "^Listen" /etc/opt/freeware/apache/httpd.conf

Listen 80

一些勿忘的:

  • 更改启动脚本,以便Apache在用户www下启动
  • 将所有者和权限更改为DocumentRoot,日志文件,httpd.conf文件,pid目录等。请对其进行三次检查。尤其要确保错误日志文件可由用户www写入。
  • 验证Apache是​​否在root用户下运行。停止它(自由端口80)。

这就是关于Apache配置的全部内容。

RBAC

基于角色的访问控制使您可以比传统的root / nonroot方法更好地控制用户对系统资源的访问。使用RBAC,您可以指定某个非root用户可以对通常需要root访问权限的对象执行任务。例如,使用LVM,创建备份或打开小于1024TCP端口。让我们为方案配置RBAC

  1. 一点点RBAC黑客攻击。我们需要知道,httpd程序需要绑定到端口80哪些特权。您已验证,您的Apache将成功以root用户身份启动和运行,对吗?以root用户运行tracepriv命令:

aix71:/# tracepriv -f /opt/freeware/apache/sbin/httpd

 

12255428: Used privileges for /opt/freeware/apache/sbin/httpd:

  PV_DAC_W                           PV_NET_CNTL

  PV_NET_PORT

要获取基于AIX 7.1信息中心或更高版本的特权描述,请下载PDFIT直觉表明我们需要PV_NET_PORT特权。

  1. 使用aix71@/# mkdom命令创建域。

mkdom "id=1" dfltmsg="TCP Port 80" apache_80

我们刚刚创建了一个名称为apache_80ID = 1的域以及您的自定义标识字符串。使用lsdom ALL列出系统中的所有定义的域。

  1. 设置域对象的安全属性。我们希望将TCP端口80设置为可被属于我们域的进程访问。

aix71@/# setsecattr -o domains=apache_80 \

objtype=netport secflags=FSF_DOM_ANY TCP_80

  1. 设置域对象的访问属性。我们希望将Apache二进制文件设置为在命令运行时对其网络端口及其子进程具有特权。

aix71@/# setsecattr -c accessauths=ALLOW_ALL \

innateprivs=PV_NET_PORT inheritprivs=PV_NET_PORT \

secflags=FSF_EPS  /opt/freeware/apache/sbin/httpd

  1. 设置用户www属于域apache_80

aix71@/# chuser "domains=apache_80" www

  1. 而且总是总是,在更改域设置中的任何内容后,运行setkst命令来设置内核安全性表。

现在怎么办。啊,可以,运行apachectl命令来启动Apache。检查并确保所有apache进程都在www用户下运行。不行吗 

故障排除

如果遵循了所有步骤,并且您正在运行AIX 7.1(我的测试系统),那么很难相信它不会起作用。很可能与Apache配置有关。

  • 您的Apache首先是否在root用户下运行?
  • 检查用户www是否有权访问所有必需的目录:配置目录,DocumentRoot目录,日志文件...。
  • 80端口免费吗?
  • Apache是​​否在用户www上的非特权端口(例如8080)上运行?如果是,则可能是RBAC问题。

感谢Viktor Vojtanik的审查和反馈以及独立测试。

 

allway2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AIX 5.3下Apache升级安装
胃有病
01-25 1224
环境: AIX 5.3 Apache从2.0.44升级到2.0.63
AIX编译安装apache2.4
08-29
完整的AIX环境下,编译安装Apache2.4操作命令和步骤,花费几天时间趟坑的结果
AIX apache服务器配置
weixin_34212762的博客
09-26 288
以下简述在 aix 下安装apache 的步骤方法一:二进制安装到http://aixpdslib.seas.ucla.edu/aixpdslib.html下载已经compile好的apache然后下载类似httpd.2.0.45.tar.Z的包,传到AIX根目录下,解压即可。Zcat httpd.2.0.45.tar.Z | tar xvf -方法二:源码安装:基本安装不再...
AIX下查看那个进程占用80端口的方法(其他端与此类同)
snow8261的专栏
03-10 227
AIX下查看那个进程占用80端口的方法(其他端与此类同) 文章分类:操作系统 Java代码   netstat -Aan | grep 80      f100020000202b98 tcp        0      0  *.80    f100020000202b98 尝试删除这个地址,如果出错则会报那个进程占用.  Java代码  ...
php apache 用户root,Linux_Linux下让Apache以指定的用户和组来运行,在Linux下使用80端口需要root权 - phpStudy...
weixin_42345187的博客
04-12 264
Linux下让Apache以指定的用户和组来运行在Linux下使用80端口需要root权限,一些管理员为了安全的原因,认为 httpd 服务器不可能没有安全漏洞,因而更愿意使用普通用户的权限来启动服务器,这样就不能使用80端口及其他小于1024的端,而必须使用大于 1024的端来启动httpd,一般情况下8000或8080也是常用的端。而Apache httpd服务器本身可以在以root权限...
aix AIX- 第二个 用户 root -id
04-24
AIX- 第二个 用户 root -id
AIX系统的用户界面使用教程.pptx
04-17
AIX系统的用户界面使用教程 本教程旨在帮助用户熟悉AIX操作系统的用户界面,了解AIX系统的基本概念、结构和主要特点,以及如何使用AIX系统的基本命令和工具。 一、AIX操作系统简介 AIX(ADVANCED INTERACTIVE ...
IBM-AIX-root密码重置过程.doc
10-10
在维护模式中,选择 1(Access a Root Volume Group),然后选择 0(Continue),选择 1(Volume Group),选择 1(Access this Volume Group and start a shell),进入 root 用户提示符“#”。 3. 密码重置 在 ...
AIX系统创建用户
07-28
首先,需要以root用户登录,执行smit命令,然后选择Security&User,接着选择User,选择“Add a User”,输入用户名、主组、家目录等信息,并设置密码。 二、配置环境变量 配置环境变量是为了使用户账户能够正常...
aixapache启动的诡异问题
laputa73的专栏
06-14 850
昨晚工程割接,遇见了系列灵异现象。 一台web server上的apache进程数只增不减,对应的resin线程数也是如此 想把apachedown掉重启 apachectl stop无响应。 手动kill掉全部httpd.netstat发现web端还有部分连接未释放 重新启动, apachectl start仍然无响应,过了将近20分钟发现才起来。 中间排查过程略过 相关现象
aix上编译apache的过程
javavsnet
11-02 217
在编译的时候,要保证环境变量中有c的complier 在aix上编译apache 2.2。14的过程 1 上传httpd-2.2.14.tar,解压 tar -xf httpd-2.2.14.tar 2 编译zlib,zlib是在编译apache过程中打包用的 2.1 tar -xf zlib-1.2.3.tar 2.2 cd zlib-1.2.3 2.3 chmod 777 conf...
AIX 5.3下安装apache 2.2.11详细步骤
dch1287的专栏
10-31 289
AIX 5.3下安装apache 2.2.11详细步骤 weblogic的端默认是7001,应用的访问路径通常是http://192.168.1.1:7001/XXXWeb,显然这种路径对用户来说太复杂,weblogic可以修改启动的端,如80,这样上面的路径就变为http://192.168.1.1/XXXWeb,仍然不够简洁,而且如果weblogic不是用root来启动的,就不...
aix上启动/停止apache报错 httpd: bad user name nobody
Robin的专栏
07-12 4155
aix上停止apache命令 ./apachectl stop aix上启动apache命令 ./apachectl start 报错 httpd: bad user name nobody 原因不明 lsgroups nobody nobody="nobody" lsuser nobody 用户不存在 解决办法 新建nobody用户 mkuser -a groups=nobody nobody
AIX命令集锦九(TCP/IP网络管理命令)
08-13 1560
<br />9.1、主机名修改命令<br />hostname/uname -n 显示主机名<br />uname -x /uname -a /uname -u 显示操作系统的详细信息,显示系统ID<br />hostname 主机名,这样改的主机名只能保持到下次重起<br />smit hostname 或chdev -l inet0 -a hostname=主机名 这样就是永久性更改主机名<br />hostid /hostid 192.9.2.1 显示主机ID号/更改主机ID<br />/etc/ho
AIX查端占用进程
mark_bo的专栏
04-21 855
    近日诊断AIX系统,发现一无名端,然后跟踪端查找到了法的进程,基本操作如下,记录一下,以备查用!1:首先根据端号netstat -Aan | grep 389 返回f1000089c27a2358 tcp4 0 0 *.389 *.* LIST EN 2:rmsock f100089c27a2358 tcpcbThe socket 0x702f6800 is being held by proccess 4986 (inetd).得到id为4986
aix 上安装apache2.0.46
pdw2009的专栏
02-08 2719
1、解压     tar -xvf    httpd-2.0.64.tar 2、进入httpd-2.0.64 目录,进行安装前的预配 ./configure --prefix=/app/interf/bin/apache2064  --with-mpm=worker --enable-so --enable-layout=Apache  --enable-rewrite=shared
AIX内存原理
opendba的专栏
12-11 6644
 1. 虚拟内存1.1. 物理内存1.1.1. 永久段(Persistent segment)和工作段(Working segment)1.1.2. Computational(计算型)和 File(文件型)1.1.3. Client 类型1.2. Paging Space1.3. Page Fault1.4. Page In&Page Out2. Paging Space的管理机制2.1. Early Page Space Allocation2.2. Late Page Space Allocation

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值