如何让非root用户使用合法端口启动应用

已于 2024-08-24 10:19:49 修改
阅读量378 收藏 3
点赞数 6
分类专栏: 随手杂记 文章标签: linux centos
于 2024-08-23 13:14:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myself88129/article/details/138074112
版权

众所周知Linux和其他类Unix系统将端口编号分为两个范围:非特权端口(大于等于1024)和特权端口(小于1024)。

特权端口(小于1024),这些低编号端口通常被分配给重要的网络服务,如HTTP(80)、FTP(21)、SSH(22)等,它们承载着关键的网络通信和对外服务。一般情况下不允许非root用户使用。

但在工作中,root用户在生产环境中,非系统管理员是不能登录系统操作的,但是某一些业务还想使用特权端口(小于1024),此时就需要非root用户来启动该方面的端口了。

下面简单总结了一个方法,可以用安全限制来解决非root用户启动特权端口来使用。此处以80端口为例,该端口恰好位于特权端口范围内,其它特权端也可以产用该方法。

一、使用authbind工具来控制

除用防火墙和sudo来控制之外,可以用authbind包来进行配置

下载authbind_2.1.3.tar.gz安装包,网址地址:SlackBuilds.org - authbind

1.1、编译 & 安装

此处我用的操作系统是CentOS7.6_x64,其它操作系统操作方法基本一致,大家可以根据自己操作系统版本进行微调操作。

把authbind_2.1.3.targz安装包下载好之后,并且也进行了解压,我以是源码编译的方法进行安装的(该软件也支持二制包的使用),可以根据自己的需要进行包的选择。

由于authbind安装包目前基本上都是debian操作系统的包,但大家也不用担心,可以通过修改Makefile来完成源码安装。

[root@test ~]# tar -xf authbind_2.1.3.tar.gz
[root@test ~]# cd ./authbind_2.1.3/work
[root@test ~]# vi Makefile
把 prefix=/usr/local 改成 prefix=/usr

改完之后进行保存,再执行编译和安装即可。

[root@test ~]# make && make install

注:如果在编译有报错,有可以是操作系统缺少某一些包造成,根据报错信息,安装对应的包即可,安装完成之后,再次执行编译和安装即可。

1.2、配置

例如用test这个用户启动一个应用,这个应用想使用80端口。

[root@test ~]# touch /etc/authbind/byport/80
[root@test ~]# chmod 500 /etc/authbind/byport/80
[root@test ~]# chown test /etc/authbind/byport/80

1.3、启动应用

启动命令之前加上:authbind --deep

如果是Nginx:daemon authbind --deep $nginxd -c ${nginx_config}

如果是Java: authbind --deep java ....

满天点点星辰
关注
专栏目录
如何让root用户启用小于1024号的端口
allan_chan的专栏
01-26 3779
最近使用websocket,使用843端口,在服务器遇到不是root用户843无法启用的问题:       方法一:端口映射   1、iptables命令:iptables -t nat -A PREROUTING -p tcp --dport -i eth0 -j REDIRECT --to-port   2、rinetd程序   3、ipchans命令:ipchans -I
如何使用Root用户启动Apache 80和1024以下端口
sui102的专栏
09-30 585
检查apache_error.log日志文件,发现有以下内容报错:ls: /home/xxxx/output/jk.shm*: 没有那个文件或目录(13)Permission denied: make_sock: could not bind to address [::]:80no listening sockets available, shutting downUnable to open ...
Linuxroot用户运行服务实践
一把菜刀行江湖
11-03 1045
root用户运行给出部署方案,对于部署中需要特权设定的场景,给出了基于setcap方式的方案,综合来看,类似docker运行模式的环境特权集传递,还是常不错的
小白都能操作,开通服务器端口,不在求网管
weixin_36095062的博客
07-17 326
centos7版本对防火墙进行加强,不再使用原来的iptables,启用firewalld;1、输入命令查看防火墙状态(命令的分号一定要输入)2、如果没有开启,输入命令,开启防火墙服务。4、输入命令重启防火墙服务。5、 输入命令重新载入配置。
linux系统命令随笔
一梦如是的博客
02-14 411
1.根据inode号删除文件 某些情况下错误的创建了一些包含特殊字符的文件,常规方法无法删除文件时可以根据文件的inode号进行删除 查找要删除文件的inode号 [root@localhost]#ls -il 根据inode号删除文件,使用exec [root@localhost]#find . -inum 1087496 -exec rm -rf {} \; 根据inode号删除文...
ubuntu 20.04、22.04初始安装,一篇就够了(root 帐号开启 SSH 登录、设置静态ip、go安装、git安装、编译环境安装、docker安装、安装xgo)
西京刀客
06-18 3241
ubuntu 20.04 基本设置一篇就够了! 一、root 帐号开启 SSH 登录 二、ubuntu 20.04 设置静态ip 三、[推荐]官网安装包安装指定版本go 四、安装编译环境(安装 build-essential软件包(编译程序必须软件包的列表信息)) 五、从源代码安装git 六、安装和配置 Redis 七、安装和配置 MongoDB.........
网络协议端口(信息安全工程师典藏版)
最新发布
RZer的博客
08-05 2887
计算机“端口”是英文port的译义,可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口,如:USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基础输入输出)缓冲区。在网络技术中,端口(Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。
linux配置nat端口转换,NAT网络地址转换——静态NAT,端口映射(实操!!)
weixin_29521135的博客
05-03 1721
NAT概述NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法NAT的工作原理借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量...
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
热门推荐
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
从零开始编写Rust服务端应用 Rust on the Server
AI天才研究院
07-29 1386
2010年,当时的微软宣布开源.NET框架并重命名为.NET Core。它的目标就是开发跨平台的应用程序。随后,Rust编程语言也受到了开发者们的关注。它是一个新的语言,而且被设计用来帮助在系统层面提高性能,同时提供安全性和内存效率。目前,Rust已经可以在服务器领域中被应用。安装Rust环境创建Rust项目HTTP请求处理JSON序列化使用Diesel连接数据库模板渲染文件上传下载JWT认证HTTPS支持。
CentOS tomcat服务器普通用户不能占用80端口问题
tony的专栏
09-20 1118
用Authbind 解决普通用户占用80端口问题1. AuthbindWiki:http://en.wikipedia.org/wiki/Authbind 目前 CentOS 下没有RPM, 只能编译安装。源码: http://www.chiark.greenend.org.uk/ucgi/~ijackson/cvsweb/authbind/ 【2013-12】更新: http://downlo
端口号的范围
weixin_43465508的博客
10-05 2585
1024~65535为用户端口,又分为:BSD临时端口(1024-5000)和BSD服务器(特权)端口(5001-65535)。1024-5000: BSD临时端口,一般的应用程序使用1024到4999来进行通讯;0-1023: BSD保留端口,也叫系统端口,这些端口只有系统特许的进程才能使用。5001-65535:BSD服务器(特权)端口,用来给用户自定义端口。其中0不使用,1-1023为系统端口,也叫BSD保留端口。一般用到的是1~65535。
FTP不得不说的事
qq_42393388的博客
04-11 248
端口 TCP 21 命令 TCP 20 数据 模式: 被动模式 主动模式:服务器使用20 端口连接客户端
网络常用端口与协议
Health's Box
10-01 849
网络常用端口与协议 HTTP:80:www服务。 DHCP:服务器端的端口号是67 DHCP:客户机端的端口号是68 POP3:POP3仅仅是接收协议,POP3客户端使用SMTP向服务器发送邮件。POP3所用的端口号是110。 SMTP: 端口号是25。SMTP真正关心的不是邮件如何被传送,而只关心邮件是否能顺利到达目的地。SMTP具有健壮的邮件处理特性,这种特性允许邮件依据一定标 准自
你有普通用户使用特权端口 (1024 以下) 的需求吗,或许这篇文章能帮你彻底解决!...
easylife206的专栏
10-21 2617
众所周知,在 Linux 系统下,只允许 Root 用户运行的程序才可以使用特权端口 ( 1024 以下的端口 )。如果在普通用户使用特权端口将会报错。在一些特定的环境...
root用户执行程序---sudo的使用
翔云
11-12 6396
场景在应用部署过程中,会遇到这样的问题:前期需要root用户执行配置、初始化工作,而具体的业务应用需要使用root用户启动。 如何解决呢?方法可以使用sudo,实现授权。 sudo命令授权,既可以使超级用户执行超级用户的命令,也可以让超级用户以普通用户身份执行程序。上面场景的解决方案具体步骤如下:切换到root用户 配置/etc/sudoers在文件末尾添加: root ALL=(
端口范围
白不懂黑的静的专栏
07-20 2万+
最近在对端口做有关操作,特将端口范围做记录如下: 一般用到的是1到65535,其中0不使用,1-1023为系统端口,也叫BSD保留端口; 1024-65535为用户端口,又分为: BSD临时端口(1024-5000)和BSD服务器(特权)端口(5001-65535). 0-1023: BSD保留端口,也叫系统端口,这些端口只有系统特许的进程才能使用; 1024-5000: BSD临时端口,一...
被Nginx代理就可以使用root用户启动80端口
06-10
是的,使用Nginx代理可以使用root用户启动80端口。当Nginx以root用户启动时,它会监听80端口,并将所有的请求代理到后端服务器,这些后端服务器可以使用root用户启动。这样做的好处是可以提高安全性,因为Nginx可以运行在一个独立的用户账户下,而不是使用root权限。同时,这也可以避免一些常见的攻击,例如DDoS攻击和端口扫描攻击等。总之,使用Nginx代理可以让你以更加安全和可靠的方式来运行Web应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值