linux普通用户使用1024以下的端口(80)

最新推荐文章于 2022-11-22 16:33:34 发布
最新推荐文章于 2022-11-22 16:33:34 发布
阅读量1.9k 收藏 3
点赞数 2
分类专栏: linux 文章标签: linux nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leenhem/article/details/117785369
版权

linux普通用户使用1024以下的端口(80)

linux对于非root权限用户不能使用1024以下的端口,对于一些服务,过高的权限,会带来一定的风险。那么对于低权限的用户如何对外开放1024以下的端口。我这里找到几种办法并且亲测可行
首先搭建环境centos7账户prod没有sudo权限

1. nginx 等软件做反向代理

使用nginx启动80端口反向代理后台服务,后台服务可以写1024之后的端口

2. iptables端口转发

首先程序绑定1024以上的端口,然后root权限下做转发注意有些系统需要手动开启IP FORWARD功能
临时修改
sysctl -w net.ipv4.ip_forward=1
或:修改文件sysctl.conf

vi /etc/sysctl.conf
#修改
net.ipv4.ip_forward = 1
#重新加载
sysctl -p /etc/sysctl.conf

使用root配置端口转发,把80端口转发到本机的后台服务6666端口上

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 6666

3. setuid

root账户下执行

##正常情况下是不能监听80端口的
[test@test nginx]$ sbin/nginx -c conf/nginx.conf
nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)
##下面给nginx授权suid权限
[root@test nginx]# chown root:root sbin/nginx
[root@test nginx]# chmod 4755 sbin/nginx
You have new mail in /var/spool/mail/root
[root@test nginx]# ll sbin/nginx
-rwsr-xr-x. 1 root root 17675424 May 22 16:43 sbin/nginx
## 用普通用户运行nginx,监听80端口
[test@test nginx]$ sbin/nginx -c conf/nginx.conf
[test@test nginx]$ ps -ef |grep nginx
root     29988     1  0 13:15 ?        00:00:00 nginx: master process sbin/nginx -c conf/nginx.conf
nobody   29989 29988  0 13:15 ?        00:00:00 nginx: worker process
nobody   29990 29988  0 13:15 ?        00:00:00 nginx: worker process
nobody   29991 29988  0 13:15 ?        00:00:00 nginx: worker process
nobody   29992 29988  0 13:15 ?        00:00:00 nginx: worker process
test     30699 23722  0 13:16 pts/1    00:00:00 grep --color=auto nginx

从上面可以看出来nginx可以运行,
但是主进程仍然是以root权限运行,这样并不安全。

4. CAP_NET_BIND_SERVICE

2.1 版本开始,Linux 内核有了能力的概念,这使得普通用户也能够做只有超级用户才能完成的工作,这包括使用端口。

获取CAP_NET_BIND_SERVICE能力,即使服务程序运行在非root帐户下,也能够binding到低端口。使用的方法:root账户下执行
setcap cap_net_bind_service=+eip nginx/sbin/nginx

切换到test账户下
信息如下
[root@centos7 sbin]# setcap cap_net_bind_service=+eip nginx
[root@centos7 sbin]# su test
[test@centos7 sbin]$ ./nginx
[test@centos7 sbin]$ ps -aux| grep nginx
test 18014  0.0  0.1  45500  1124 ?        Ss   18:49   0:00 nginx: master process ./nginx
test 18015  0.0  0.1  45960  1596 ?        S    18:49   0:00 nginx: worker process
test 18017  0.0  0.0 112664   984 pts/0    R+   18:49   0:00 grep --color=auto nginx
[test@centos7 sbin]$
cap_net_bind_service

最后别忘记怎么清除这个能力

CSDN_码404:linux普通用户使用1024以下的端口(80)

leenhem
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Linux使用小于1024端口号,Linux中如何让普通用户使用小于1024端口
weixin_35915828的博客
05-05 1084
Linux系统中,一般情况下,小于1024端口是不对没有root的Linux普通用户开放的。但是还是有一些技巧能够让没有root的用户使用小于1024端口的。本文就来介绍一下Linux中如何让普通用户使用1024以下端口。方法一:SetUID给用户的应用程序在执行位设置用户 ID 能够使程序可以以 root 权限来运行,这个方法让程序能够像在 root 下运行一样,不过需要非常小心,这种方法...
linux普通用户使用小于1024端口
H2K1R~ACE
09-01 1202
linux普通用户使用小于1024端口
Linux系统下Tomcat使用80端口的方法
01-09
应用场景 很多情况下,我们在linux服务器上安装了tomcat或者nginx之类的软件. 当我们想用80端口的时候,如果不用root用户启动就会报错.  这是因为,对于linux系统而言,1024以下端口,普通用户是无法使用的. 网上关于这方面的解决方案有两种,一种呢就是什么给文件root权限. 还有一种就是做端口的跳转.我觉得可能端口跳转可能比较安全吧.就着重介绍一下怎么配置. IPTABLES 在这里我们主要做的是本机的端口跳转,我主要说下如何设置以及删除. 关于iptables的详细信息,可以参考网上很多资料. 添加一个端口的映射 现在我们要做一件事情,假
1024以内的端口用途
释迦呼呼的博客
04-27 5443
1-1023是操作系统保留端口,可以通过维基百科查到相关资料http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers也可通过网站查询:http://www.pc-library.com/ports/tcp-udp-port/26/1024–49151中也有保留端口,如果需要请自行搜索Port Description Status
linux 1024以下端口,在MacOS上使用1024以下端口
weixin_39913105的博客
05-02 445
起因MacOS和Linux一样,需要root权限使用低于1024以下端口。因此要在Mac机器上监听80端口或443端口,要么以root用户启动应用,要么使用端口转发。在Linux系统中可以通过sudo setcap cap_net_bind_service=+ep 来让非root用户使用1024以下端口(指要授权监听端口的程序)。MacOS没有setcap命令,所以需要通过端口转发来达到目的。新版...
1024代理服务器网站,1024hgc.com服务器iP
热门推荐
weixin_42347048的博客
08-10 2万+
2021-07-26-----2021-08-10172.67.24.1612021-07-26-----2021-08-10104.22.46.962021-07-26-----2021-08-10104.22.47.962021-03-25-----2021-07-26104.26.3.652021-03-25-----2021-07-26104.26.2.652021-03-25-----2...
普通用户使用80端口
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-25 1463
方法一 使用80端口启动程序,然后用iptables做一个端口转发。 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 用root执行! 方法二 假设我们需要启动的程序是nginx,那么这么做也可以达到目的。 一开始我们查看nginx的权限描述: -rwxr-xr-x 1 nginx dev 24...
Linux 开启80端口访问权限
黑礼服丶弑魂
05-22 1万+
1、首先进入到httpd的安装目录下。 2、在Linux终端依次输入以下命令: [root@centos httpd]# /sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT [root@centos httpd]# /etc/rc.d/init.d/iptables save [root@centos httpd]# /e
Linux非root用户运行的程序赋予监听1024以下端口的权限
zs5218的博客
11-13 1614
Linux系统非root用户端口开放
nginx 普通用户使用80端口启动nginx nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)
yuezhilangniao的博客
11-22 1780
当我们用普通用户执行启动nginx时,无法启动成功,报错 nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied) 报错原因 大家都知道默认情况下linux1024以下端口是只有root用户才有权限占用,于是我们的tomcat,apache,nginx等等程序如果想要用普通用户来占用80端口的话就会抛出permission denied的异常。
LINUX FTP设置方法
10-21
使用者的预设目录为/home/username,若是我们不希望使用者redhat在ftp 时能够切换到上一层目录/home,则可参考以下步骤。 #去掉注释 chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list #或以上...
入门学习Linux常用必会60个命令实例详解doc/txt
06-09
普通用户只能修改自己的Shell,超级用户可以修改全体用户的Shell。要想查询系统提供哪些Shell,可以使用chsh -l 命令,见图1所示。 图1 系统可以使用的Shell类型 从图1中可以看到,笔者系统中可以使用的Shell有...
Linux-FTP配置说明及安装源文件
12-15
使用者的预设目录为/home/username,若是我们不希望使用者redhat在ftp 时能够切换到上一层目录/home,则可参考以下步骤。 #去掉注释 chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list #或以上选项...
centos7 服务器基本的安全设置步骤
01-10
一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root 这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限 以下是具体做法(需要在root下) ...
Linux常用与不常用端口一览表
Code忆旧录
10-24 6736
常用端口号: IIS(HTTP):80 SQLServer:1433 Oracle:1521 MySQL:3306 FTP:21 SSH:22 Tomcat:8080 Telnet :23 常用和不常用端口一览表 端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 端口:1 服务:tcpmux 说明:这显示有人在寻找S
Windows端口号设置范围
weixin_44414948的博客
11-11 1万+
由于windows安装Tomcat、Oracle、MySQL等软件时经常遇到端口被占用的情况,而强行关闭占用程序往往治标不治本,此时更改软件程序默认端口不失为一个好方法。 以下是Windows的端口号设置范围 (推荐使用5001-65535之间的端口,记得绕开8080这种常用的): (1)0-1023: BSD保留端口,也叫系统端口,这些端口只有系统特许的进程才能使用; (2)1024~5000:一般为服务器端口,不建议使用; (3)5001~65535:绕开常用端口,随便使用,建议选用5001-9999之
FTP,HTTP各种端口号
sunsineq的专栏
04-02 1万+
FTP的端口是 21 SSH (Secure Shell)服务使用tcp 22 端口 TELNET 23 端口 DHCP server的端口号是67 MAIL 的端口号是25\110 pop3\smtp 的端口号是 110/25 DNS 的端口号是 53 HTTP通信用的端口号80 SMMP:性能测试标准方法 mysql默认端口是3306 Sql服务的默认端口. 3389 tomcat默认端口8080 windows远程终端 的端口号是3389 ORACLE...
linux tomcat 80端口 权限,非root用户无法启动监听80端口的Tomcat
weixin_36248959的博客
04-28 1156
一、问题网站绑定域名后直接通过域名访问使用的是80端口,因此tomcat须监听80端口,而为了安全起见tomcat一般不用root身份运行,综上,需要以普通用户来运行监听80端口的tomcat。此时就会启动失败,报没有权限,因为只有root身份才能监听1024以下的熟知端口。二、解决(以下未经验证)There are a few different solutions to work around...
linux普通用户监听1024以下端口80、443)
zzhongcy的专栏
05-06 7929
最近为了安全,不打算让Nginx以root权限启动,网上查了查资料,这里整理一下分享给大家 1、介绍 linux对于非root权限用户不能使用1024以下端口,对于一些服务,过高的权限,会带来一定的风险。那么对于低权限的用户如何对外开放1024以下端口。我这里找到几种办法并且亲测可行 首先搭建环境 centos7 账户 tengine 没有 sudo 权限。 2、nginx进程属主 关于nginx进程属主的问题总结如下: 2.1 规则 nginx启动进程可以在conf里指定user(use
linux开始80端口
最新发布
05-19
Linux 系统中,只有 root 用户才能够开启 80 端口。这是因为 80 端口是 HTTP 服务的默认端口,而 HTTP 服务通常需要使用较高的权限才能运行,以确保安全性。 如果你需要让普通用户运行 HTTP 服务并使用 80 端口,可以使用以下两种方法之一: 1. 使用 setcap 命令设置特殊权限 setcap 命令可以让普通用户获取到某些需要 root 权限才能开启的端口或者功能。例如,使用以下命令可以让普通用户开启 80 端口并运行 HTTP 服务: ``` sudo setcap 'cap_net_bind_service=+ep' /path/to/httpd ``` 其中 `/path/to/httpd` 是你的 HTTP 服务可执行文件的路径。执行了以上命令后,普通用户就可以通过该服务开启 80 端口了。 2. 使用端口转发 另一种方法是使用端口转发,将用户开启的端口转发到 80 端口上。这需要使用 iptables 命令,例如: ``` sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 ``` 以上命令将所有访问 80 端口的请求都转发到了 8080 端口上,而用户则可以使用 8080 端口开启 HTTP 服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

leenhem

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值