Wie führe ich einen Server an Port 80 als normaler Benutzer unter Linux aus?

Ich habe lange über eine Lösung gegoogelt, aber keine Antwort gefunden.

Ich arbeite unter Ubuntu Linux und möchte einen Server auf Port 80 ausführen. Aufgrund des Sicherheitsmechanismus von Ubuntu erhalte ich jedoch die folgende Fehlermeldung:

java.net.BindException: Berechtigung verweigert: 80

Ich denke, es sollte einfach genug sein, diesen Sicherheitsmechanismus entweder zu deaktivieren, damit Port 80 für alle Benutzer verfügbar ist, oder dem aktuellen Benutzer die erforderlichen Berechtigungen für den Zugriff auf Port 80 zuzuweisen.

Kurze Antwort: Das kannst du nicht. Ports unter 1024 können nur von root geöffnet werden. Wie im Kommentar erwähnt, können Sie mit CAP_NET_BIND_SERVICE , aber dieser Ansatz, der auf Java Bin angewendet wird, bewirkt , dass jedes Java-Programm mit dieser Einstellung ausgeführt wird. Dies ist unerwünscht, wenn nicht sogar ein Sicherheitsrisiko.

Die lange Antwort: Sie können Verbindungen auf Port 80 auf einen anderen Port umleiten, den Sie als normaler Benutzer öffnen können.

Als root ausführen:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

Da Loopback-Geräte (wie localhost) die Prerouting-Regeln nicht verwenden, falls Sie localhost usw. verwenden müssen, fügen Sie auch diese Regel hinzu ( danke @Francesco ):

# iptables -t nat -I OUTPUT -p tcp -d 127.0.0.1 --dport 80 -j REDIRECT --to-ports 8080

ANMERKUNG: Die obige Lösung eignet sich nicht für Systeme mit mehreren Benutzern, da jeder Benutzer den Port 8080 (oder einen anderen hohen Port, den Sie verwenden möchten) öffnen und so den Datenverkehr abfangen kann. ( Dank an CesarB ).

BEARBEITEN: gemäß Kommentarfrage - um die obige Regel zu löschen:

# iptables -t nat --line-numbers -n -L

Dies wird ungefähr so ​​aussehen:

Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 redir ports 8088
2    REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 8080

Die Regel, die Sie interessiert, ist nr. 2, um es zu löschen:

# iptables -t nat -D PREROUTING 2

Benutze authbind .

Es funktioniert sogar mit Java, wenn Sie den Nur-IPv4-Stack von Java aktivieren. Ich benutze:

authbind --deep $JAVA_HOME/bin/java -Djava.net.preferIPv4Stack=true …

Wenn Ihr System dies unterstützt, können Sie möglicherweise Funktionen verwenden. Siehe man Fähigkeiten, die Sie benötigen, wäre CAP_NET_BIND_SERVICE.

Unter neuerem Debian / Ubuntu können Sie Folgendes ausführen:

sudo apt-get install libcap2-bin 
sudo setcap 'cap_net_bind_service=+ep' /path/to/program

Eine andere Lösung besteht darin, Ihre App so einzurichten, dass sie mit Port 80 verbunden werden kann. Führen Sie als Root die folgenden Schritte aus

chown root ./myapp
chmod +S ./myapp

Bedenken Sie, dass dies potenzielle Sicherheitslücken birgt, wenn es nicht absolut richtig gemacht wird, da Ihre App mit dem Netzwerk kommuniziert und mit vollständigen Root-Berechtigungen ausgeführt wird. Wenn Sie diese Lösung wählen, sollten Sie sich den Quellcode für Apache oder Lighttpd oder ähnliches ansehen, wo sie die Root-Rechte verwenden, um den Port zu öffnen, aber dann sofort diese Rechte aufgeben und ein Benutzer mit niedrigeren Rechten "werden" Ein Hijacker kann nicht Ihren gesamten Computer übernehmen.

Update: Wie in dieser Frage zu sehen ist, haben Linux-Kernel seit 2.6.24 eine neue Funktion, mit der Sie eine ausführbare Datei (aber natürlich kein Skript) als " CAP_NET_BIND_SERVICE" fähig markieren können. Wenn Sie das Debian-Paket "libcap2-bin" installieren, können Sie dies tun, indem Sie den Befehl absetzen

setcap 'cap_net_bind_service=+ep' /path/to/program

Ich benutze einfach Nginx vor. Es kann auch auf localhost ausgeführt werden.

• apt-get install nginx

.. oder ..

• pkg_add -r nginx

.. oder was auch immer zu Ihrem Betriebssystem passt.

Alles was Sie in der nginx.conf brauchen, wenn Sie auf localhost laufen, ist:

Server {
        höre 80;
        Servername some.domain.org;
        Standort / {
            proxy_set_header Host $ host;
            proxy_set_header X-Real-IP $ remote_addr;
            proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
            proxy_pass http://127.0.0.1:8081;
        }
}

Lösungsvorschlag von Sunny und CesarB:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

funktioniert gut, hat aber einen kleinen Nachteil - es hindert den Benutzer nicht daran, eine direkte Verbindung zu Port 8080 anstelle von 80 herzustellen.

Stellen Sie sich das folgende Szenario vor, wenn dies ein Problem sein kann.

Angenommen, wir haben einen Server, der HTTP-Verbindungen an Port 8080 und HTTPS-Verbindungen an Port 8181 akzeptiert.

Wir verwenden iptables, um die folgenden Weiterleitungen einzurichten:

80  ---> 8080
443 ---> 8181

Angenommen, unser Server leitet Benutzer von einer HTTP-Seite auf eine HTTPS-Seite um. Wenn wir die Antwort nicht sorgfältig umschreiben, wird sie an weitergeleitet https://host:8181/. An diesem Punkt sind wir geschraubt:

• Einige Benutzer würden die https://host:8181/URL mit einem Lesezeichen versehen, und wir müssten diese URL beibehalten, um zu vermeiden, dass ihre Lesezeichen beschädigt werden.
• Andere Benutzer können keine Verbindung herstellen, da ihre Proxyserver keine nicht standardmäßigen SSL-Ports unterstützen.

Ich benutze den folgenden Ansatz:

iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 1
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8181
iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -m mark --mark 1 -j ACCEPT
iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 8181 -m mark --mark 1 -j ACCEPT

In Kombination mit der standardmäßigen REJECT-Regel in der INPUT-Kette verhindert dieser Ansatz, dass Benutzer eine direkte Verbindung zu den Ports 8080, 8181 herstellen

Traditionell kann unter Unix nur root Verbindungen zu niedrigen Ports herstellen (<1024).

Die einfachste Möglichkeit, dies zu umgehen, besteht darin, Ihren Server auf einem hohen Port (z. B. 8080) auszuführen und die Verbindungen von Port 80 nach Port 8080 mithilfe einer einfachen iptables-Regel weiterzuleiten. Beachten Sie, dass Sie dadurch den zusätzlichen Schutz von verlieren niedrige Häfen; Jeder Benutzer auf Ihrem Computer kann eine Bindung zu Port 8080 herstellen.

Wenn Ihr System dies unterstützt, können Sie möglicherweise Funktionen verwenden. Sehen Sie man capabilities, derjenige, den Sie brauchen, wäre CAP_NET_BIND_SERVICE. Nein, ich habe sie noch nie benutzt und ich weiß nicht, ob sie wirklich funktionieren :-)

Verwenden Sie einen Reverse-Proxy (nginx, apache + mod_proxy) oder einen Caching-Reverse-Proxy (Squid, Varnish) vor Ihren Anwendungsservern!

Mit einem Reverse-Proxy können Sie viele interessante Dinge erreichen, wie:

• Lastverteilung
• Neustart Ihrer Anwendungsserver mit Benutzern, die eine ausgefallene Fehlerseite erhalten
• Beschleunigen Sie die Dinge mit Cache
• Fein abgestimmte Einstellungen, die Sie normalerweise mit einem Reverse-Proxy und nicht mit einem Anwendungsserver vornehmen

Sie können das Redir-Programm verwenden:

sudo redir --lport=80 --laddr=192.168.0.101 --cport 9990 --caddr=127.0.0.1

Benutze sudo.

Konfigurieren Sie sudo so, dass der normale Benutzer die entsprechenden Befehle ausführen kann:

/etc/init.d/httpd start

Oder

apachectl stop

Oder

/usr/local/apache2/apachectl restart

Oder

/myapp/myappbin start

(Oder welcher andere Befehl / Skript, den Sie zum Starten / Stoppen eines bestimmten Webservers / einer bestimmten App verwenden)

Die Antwort von sunny ist korrekt, es können jedoch weitere Probleme auftreten, da die Loopback-Schnittstelle die PREROUTING-Tabelle nicht verwendet.

Die Iptables-Regeln, die hinzugefügt werden müssen, sind zwei:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -I OUTPUT -p tcp -d 127.0.0.1 --dport 80 -j REDIRECT --to-ports 8080

Unter Linux haben Sie zwei weitere Möglichkeiten:

• Sie können SELinux ausprobieren ( http://www.nsa.gov/selinux/ )
• Sie können grsecurity ausprobieren ( http://www.grsecurity.net/ )

Mit beiden Erweiterungen des Linux-Kernels können Zugriffsrechte auf einer sehr detaillierten Ebene erteilt werden. Auf diese Weise können Sie diesem Prozess das Öffnen von Port 80 gewähren, erbt jedoch keine der anderen Root-Rechte.

Soweit ich gehört habe, ist grsecurity viel einfacher zu verwenden, SELinux ist jedoch sicherer.

Eine Lösung besteht darin, iptables zu verwenden, um PAT für Pakete für Port 80 auszuführen. Sie können dies beispielsweise verwenden, um die Pakete an den lokalen Port 8080 weiterzuleiten. Stellen Sie sicher, dass die ausgehenden Pakete wieder auf Port 80 eingestellt sind.

Nach meiner Erfahrung werden die detaillierten Berechtigungsfunktionen von Linux aus Sicherheitsgründen nicht in Standard-Kernel kompiliert.

Wenn Sie dies versuchen, damit ein vom Benutzer ausgeführter Befehl Port 80 verwenden kann, sind Ihre einzigen Lösungen die iptables-Tricks oder das Festlegen der ausführbaren Datei setuid-to-root.

So wie Apache dies tut (es wird an Port 80 gebunden, aber nicht als Root ausgeführt), wird als Root ausgeführt, an den Port gebunden und anschließend nach dem Port der Besitzer des Prozesses an den nicht privilegierten Benutzer geändert ist eingerichtet. Wenn die App schreiben Sie können laufen von root, können Sie es Eigentümer an den nicht-priv Benutzers ändern, nachdem die Ports eingerichtet werden. Wenn dies jedoch nur für einen durchschnittlichen Benutzer gilt, der über die Befehlszeile ausgeführt wird, müssen Sie eine der anderen Lösungen verwenden.

Wenn ich verschiedene Web-Serving-Anwendungen (Python-Skripte, Tomcat-Engines, ...) habe, die ich nicht als Root ausführen möchte, konfiguriere ich normalerweise einen Apache-Webserver vor ihnen. Apache lauscht auf Port 80 und Tomcat lauscht auf 8080.

In Apache: s Konfiguration:

ProxyPass /webapp http://localhost:8080/webapp
ProxyPassReverse /webapp http://localhost:8080/webapp

Weitere Informationen finden Sie in der Mod-Proxy-Dokumentation: http://httpd.apache.org/docs/2.2/mod/mod_proxy.html

Ich denke, die beste Lösung ist es, Ihre App zu sgiden und sobald der Port gebunden ist, sollten die Berechtigungen durch einen Wechsel zu einem anderen Benutzer verworfen werden.

Einige Hostsysteme erlauben die Verwendung des NAT-Moduls nicht. In diesem Fall löst 'iptables' das Problem nicht.

Wie wäre es mit Xinetd?

In meinem Fall (Ubuntu 10.04)

# apt-get install xinetd
# touch /etc/xinetd.d/my_redirect
# vim /etc/xinetd.d/my_redirect

Fügen Sie die Konfiguration ein:

service my_redirector_80
{
 disable = no
 socket_type = stream
 protocol = tcp
 user = root
 wait = no
 port = 80
 redirect = localhost 8080
 type = UNLISTED
}

Dann:

# service xinetd restart

http://docs.codehaus.org/display/JETTY/port80 erklärt besser.

Abgesehen davon können Sie dies mit FreeBSD und Solaris (jemand erinnert sich daran ?) Ohne erweiterte Rechte (dh mit Programmen zum Wechseln zu root) tun (an niedrige Ports binden). Da Sie Linux angegeben haben, sende ich dies nur als Hinweis an andere, die diese Frage möglicherweise finden.

Nekromanzierung.

Einfach. Mit einem normalen oder alten Kernel ist dies nicht der Fall.
Wie bereits von anderen erwähnt, können iptables einen Port weiterleiten.
Wie auch von anderen erwähnt, kann CAP_NET_BIND_SERVICE auch die Aufgabe übernehmen.
Natürlich schlägt CAP_NET_BIND_SERVICE fehl, wenn Sie Ihr Programm von einem Skript aus starten, es sei denn, Sie setzen die Obergrenze für den Shell-Interpreter, was sinnlos ist. Sie können Ihren Dienst genauso gut als root ausführen ...
z. B. für Java müssen Sie ihn anwenden an die JAVA JVM

sudo /sbin/setcap 'cap_net_bind_service=ep' /usr/lib/jvm/java-8-openjdk/jre/bin/java

Dies bedeutet natürlich, dass jedes Java-Programm System-Ports binden kann.
Dito für Mono / .NET.

Ich bin mir auch ziemlich sicher, dass xinetd nicht die besten Ideen sind.
Aber da beide Methoden Hacks sind, warum nicht einfach das Limit durch Aufheben der Beschränkung aufheben?
Niemand hat gesagt, dass Sie einen normalen Kernel ausführen müssen, also können Sie einfach Ihren eigenen Kernel ausführen.

Sie laden einfach den Quellcode für den neuesten Kernel herunter (oder den gleichen, den Sie aktuell haben). Anschließend gehen Sie zu:

/usr/src/linux-<version_number>/include/net/sock.h:

Dort suchen Sie nach dieser Zeile

/* Sockets 0-1023 can't be bound to unless you are superuser */
#define PROT_SOCK       1024

und ändere es auf

#define PROT_SOCK 0

Wenn Sie keine unsichere SSH-Situation haben möchten, ändern Sie diese folgendermaßen: #define PROT_SOCK 24

Im Allgemeinen würde ich die niedrigste Einstellung verwenden, die Sie benötigen, z. B. 79 für http oder 24, wenn Sie SMTP an Port 25 verwenden.

Das ist schon alles.
Kompilieren Sie den Kernel und installieren Sie ihn.
Starten Sie neu.
Fertig - diese dumme Grenze ist GEGANGEN und das funktioniert auch für Skripte.

So kompilieren Sie einen Kernel:

https://help.ubuntu.com/community/Kernel/Compile

# You can get the kernel-source via package linux-source, no manual download required
apt-get install linux-source fakeroot

mkdir ~/src
cd ~/src
tar xjvf /usr/src/linux-source-<version>.tar.bz2
cd linux-source-<version>

# Apply the changes to PROT_SOCK define in /include/net/sock.h

# Copy the kernel config file you are currently using
cp -vi /boot/config-`uname -r` .config

# Install ncurses libary, if you want to run menuconfig
apt-get install libncurses5 libncurses5-dev

# Run menuconfig (optional)
make menuconfig

# Define the number of threads you wanna use when compiling (should be <number CPU cores> - 1), e.g. for quad-core
export CONCURRENCY_LEVEL=3
# Now compile the custom kernel
fakeroot make-kpkg --initrd --append-to-version=custom kernel-image kernel-headers

# And wait a long long time

cd ..

Kurz gesagt, verwenden Sie iptables, wenn Sie sicher bleiben möchten, und kompilieren Sie den Kernel, wenn Sie sicher sein möchten, dass diese Einschränkung Sie nie wieder stört.