非root用户使用1024以下端口

最新推荐文章于 2024-08-21 16:15:27 发布
最新推荐文章于 2024-08-21 16:15:27 发布
阅读量799 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 操作系统
原文链接:http://www.cnblogs.com/chenjunjie12321/p/9226279.html
 
如果你有一个最新的内核,确实有可能使用它作为非root用户启动服务,但绑定低端口。最简单有效的办法是: 
#setcap 'cap_net_bind_service=+ep' /path/to/program

 执行了该命令后,该文件程序将会具有CAP_NET_BIND_SERVICE功能,setcap在debian软件包libcap2-bin中,至于具体的功能感兴趣可以自己查阅。

现在要注意的是:

  1. 您的内核版本至少为2.6.24

  2.文件不能是脚本。也就是说你必须将CAP_NET_BIND_SERVICE功能应用到可执行文件本身,而不是脚本中指向的其他应用。如果赋予了该文件CAP_NET_BIND_SERVICE能力,其他应用滥用用这个文件就可能在安全性上造成隐患。

  3.如果你的程序使用自己的... / lib /的共享库,而Linux将在任何具有像setcap或suid这样的特权提升的程序上禁用LD_LIBRARY_PATH,将导致不能使用。

 

参考:

https://stackoverflow.com/questions/413807/is-there-a-way-for-non-root-processes-to-bind-to-privileged-ports-on-linux

LD_LIBRARY_PATH作用 https://www.douban.com/note/520942662/

端口转发、setuid,在root目录下启动应用 https://www.cnblogs.com/fatt/p/5019322.html

 

应用实例:

nginx配置文件,监听80端口

 

直接在非root用户下启动nginx服务,发现启动不了,提示非root用户没有使用80端口的权利。

使用setcap
在root用户下执行命令: 
#setcap cap_net_bind_service=+eip
 
提示:注意文件的颜色变化
 
再次启动nginx服务:
 注:如果不使用了,使用如下命令即可: 
#setcap -r 文件名

  

 

转载于:https://www.cnblogs.com/chenjunjie12321/p/9226279.html

使用Root用户启动tomcat(使用80端口
小何的博客
10-26 6544
前言 1.使用root用户启动tomcat会使所有html、js等文件具备root权限,会使服务器更容易被黑。 2.root用户不能使用1024以下的端口。 基本思路 1.创建一个普通用户,并赋予相应权限 2.使用用户在8080端口启动tomcat 3.用防火墙的端口转发功能将80端口的流量转发至8080 准备工作 下载tomcat、安装jdk等(本文略)   目标1:创建...
【linux】普通用户使用小于1024端口
H2K1R~ACE
09-01 1508
【linux】普通用户使用小于1024端口
如何让Linux下root用户程序使用小于1024端口
01-09
在 Linux 下,默认情况下1024 以下的端口是要在 root 下才能使用的,在其他用户下,如果尝试使用将会报错。在有的时候,我们可能考虑程序运行在 root 帐户下,但这可能会给 Linux 系统带来安全风险。那如何能够让 root 用户运行的程序能够对外启用小于1024端口呢?   本文尝试给出一些方法:   (题图来自: wordpress.com)   第一种方法:SetUID   给用户的应用程序在执行位设置用户 ID 能够使程序可以以 root 权限来运行,这个方法让程序能够像在 root 下运行一样,不过需要常小心,这种方法同样会带来安全风险,特别是当要
root用户使用1024以下端口(Linux的Capabilities)
qq_39329427的博客
04-19 3540
root用户使用1024以下端口一、问题背景二、解决方法1.进入root用户2.分配用户权限总结1、Capabilities介绍2、Capabilities其他功能名称3、Capabilities的使用方法手册资料链接:https://wiki.archlinux.org/index.php/Capabilities_(简体中文) 一、问题背景   曾经的一个项目中用到需要Modbus TCP协议的502端口,但是我们使用的时候是root用户,没有权限访问1024以下的端口。最简单的方法是将通讯.
root权限启动的进程怎么使用1024以下的端口
qq_51023695的博客
08-21 579
root权限启动的进程是不允许使用0.0.0.0:1024以下的端口的设置文件的capabilities。
nginxroot用户使用1024以下端口
xiaoma19961101的博客
11-23 4551
nginxroot用户使用1024以下端口 nginx应用需要使用80和443端口,但是root用户,nginx -t 检查文件是会报错: [majd@majd nginx]$ /home/majd/nginx/sbin/nginx -t nginx: the configuration file /home/majd/nginx/conf/nginx.conf syntax is ok nginx: [emerg] bind() to 0.0.0.0:443 failed (13: Permissio
Linuxroot用户运行的程序赋予监听1024以下端口的权限
zs5218的博客
11-13 1989
Linux系统root用户端口开放
普通用户启动nginx,使用80端口
03-06
在Linux系统中,默认情况下,只有root用户才能绑定1024以下的端口号,包括常用的Web服务端口80(HTTP)和443(HTTPS)。然而,在某些场景下,出于安全考虑或系统配置需求,我们可能希望让普通用户也能启动Nginx...
weblogic下如何用root账号使用80端口
07-31
然而,在实际部署应用服务器如 WebLogic 的过程中,有时候出于安全或其他考虑,需要使用 root 用户来启动服务并监听这些端口。 #### 解决方案步骤 1. **创建用户组**:首先,我们需要创建一个用户组用于后续的...
root用户如何使用1024以下端口
huiy的专栏
10-19 1146
目前网上主要有如下解决方法: 1.利用防火墙做端口映射 2.改变目录文件权限 3.修改系统内核,重新编译 我个人觉得最省力的就是第1种,推荐使用,已经测试通过: sudo iptables -t nat -A PREROUTING -p udp -d 192.168.6.162 --dport 514 -j REDIRECT --to-port 5140 解释如下: ...
Linux下让root用户启用小于1024号的端口
god9me的专栏
05-19 2167
以下是找到的Linux的资料,Solairs、AIX等应当有所不同,请跟进 方法一:端口映射 1、iptables命令:iptables -t nat -A PREROUTING -p tcp --dport -i eth0 -j REDIRECT --to-port 高端口> 2、rinetd程序 3、ipchans命令:ipchans -I input --proto TCP --d
如何使用Root用户启动Apache 80和1024以下端口
sui102的专栏
09-30 642
检查apache_error.log日志文件,发现有以下内容报错:ls: /home/xxxx/output/jk.shm*: 没有那个文件或目录(13)Permission denied: make_sock: could not bind to address [::]:80no listening sockets available, shutting downUnable to open ...
如何让root用户启用小于1024号的端口
★匆匆★的专栏
06-07 1479
http://edu.cnzz.cn/200806/60404525.shtml 方法一:端口映射 1、iptables命令:iptables -t nat -A PREROUTING -p tcp ——dport 低端口 -i eth0 -j REDIRECT ——to-port 原先监听的高端口 2、rinetd程序 3、ipchans命令:ipchans -I i
解决Root用户不能绑定1024以下端口[emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)
wangwenzhe的博客
03-21 601
直接使用命令:setcap cap_net_bind_service=+ep。示例:让nginx可以让root用户启动。
linux下的程序如何不用root权限绑定1024以下端口
闲人的专栏
12-04 1151
  用setcap命令 sudo setcap 'cap_net_bind_service=+ep' /path/to/program     参考: https://stackoverflow.com/questions/413807/is-there-a-way-for-non-root-processes-to-bind-to-privileged-ports-on-linux...
宝塔Mysql无法启动
m0_52796585的博客
04-17 615
【代码】宝塔Mysql无法启动。
linux普通用户监听1024以下的端口(80、443)
zzhongcy的专栏
05-06 8670
最近为了安全,不打算让Nginx以root权限启动,网上查了查资料,这里整理一下分享给大家 1、介绍 linux对于root权限用户不能使用1024以下的端口,对于一些服务,过高的权限,会带来一定的风险。那么对于低权限的用户如何对外开放1024以下的端口。我这里找到几种办法并且亲测可行 首先搭建环境 centos7 账户 tengine 没有 sudo 权限。 2、nginx进程属主 关于nginx进程属主的问题总结如下: 2.1 规则 nginx启动进程可以在conf里指定user(use
mac下不允许访问1024以下端口解决方法
limonero
04-13 5348
mac禁止了普通用户访问1024以下的端口,包括80端口。想要通过80端口访问则需要通过端口转发,早期用ipfw做端口转发,但是os10.10之后不能用了,但是可以使用pf做端口转发. 1、打开防火墙。不打开也可以,一般为了安全建议打开防火墙。 2、如果进行类似微信相关开发的情况,建议在/etc/hosts 配置文件中配置域名映射。 这里需要使用管理员权限。 3、打开 /etc/pf.conf 文件。添加如下命令,命令的位置是确定的。需要使用管理员权限设置。 scrub-anchor "com.a.
使用root用户启动nexus 发现无法启动 不报错
最新发布
04-09
<think>好的,我现在需要帮助用户解决root用户启动Nexus时无法启动且无错误信息的问题。首先,我得先理解用户的问题。用户提到使用root用户启动Nexus出现启动失败,但没有错误提示,所以需要找出可能的原因和解决方案。 首先,我应该回忆一下Nexus相关的知识。Nexus Repository Manager通常作为服务运行,可能需要特定的权限和配置。当使用root用户启动时,常见的权限问题可能包括文件或目录的权限不足,端口绑定失败,或者环境变量配置不正确。 接下来,我需要分步骤分析可能的原因。第一步,检查文件权限。Nexus的安装目录、数据目录以及日志目录可能需要用户有读写权限。例如,如果用户尝试启动Nexus,但安装目录的权限属于root,那么root用户可能无法访问这些文件,导致启动失败。用户需要确保这些目录的所有权和权限正确。 第二步,检查端口绑定。Nexus默认使用8081端口,如果该端口已被占用或root用户没有权限绑定该端口,可能导致启动失败。在Linux系统下,root用户通常无法绑定1024以下的端口,但8081是高于1024的,所以可能不是这个问题。不过,也有可能其他进程占用了该端口,需要检查端口占用情况。 第三步,查看日志文件。即使用户说没有错误信息,但Nexus应该会生成日志文件,比如在安装目录下的sonatype-work/nexus3/log目录中。检查最新的日志文件,可能找到启动失败的原因。如果日志文件无法写入,可能是因为权限问题,导致无法生成日志,所以这是一个矛盾点,需要特别注意。 第四步,环境变量或配置文件的问题。root用户可能需要正确设置JAVA_HOME等环境变量,或者nexus.vmoptions中的内存配置是否正确。如果配置文件中指定的路径用户没有权限访问,也可能导致问题。 第五步,SELinux或AppArmor的安全策略。在某些Linux发行版中,安全模块可能会阻止root用户执行某些操作,需要检查是否有相关的策略阻止了Nexus的启动,并适当调整。 另外,用户提到参考的引用内容是关于Cordova的问题,可能与当前问题无关,但可能用户是在特定环境下运行,比如Android设备或模拟器,但Nexus通常作为仓库服务运行在服务器上,可能需要确认用户的具体环境。 现在,我需要将这些思考整理成步骤,给出具体的检查点和解决方案,确保用户能够逐步排查问题。同时,需要提醒用户检查日志文件的位置和权限,以及可能的端口冲突。如果用户按照这些步骤操作,应该能够找到问题的根源并解决。</think>### root用户启动Nexus失败问题排查与解决步骤 #### 1. **检查文件与目录权限** - **关键目录**:确保Nexus安装目录(如`/opt/nexus`)及数据目录(如`sonatype-work`)的所有权属于当前用户,权限至少为`755`(目录)和`644`(文件)[^1]。 ```bash chown -R <username>:<group> /opt/nexus chmod -R 755 /opt/nexus ``` - **日志权限**:检查日志目录`sonatype-work/nexus3/log`是否可写。若日志未生成,可能是权限导致的无日志输出。 #### 2. **验证端口占用与绑定权限** - 使用`netstat -tuln | grep 8081`检查8081端口是否被其他进程占用。 - 若需绑定低端口(如80),需通过`setcap`赋予权限: ```bash setcap 'cap_net_bind_service=+ep' /path/to/java ``` #### 3. **检查环境变量与配置文件** - **Java环境**:确认`JAVA_HOME`正确设置,且用户有权限访问Java安装目录。 - **内存配置**:检查`nexus.vmoptions`中内存参数(如`-Xms`、`-Xmx`)是否超出系统可用资源。 #### 4. **查看日志文件** - 即使无界面错误提示,强制检查日志文件: ```bash tail -f sonatype-work/nexus3/log/nexus.log ``` - 若日志文件为空或不可读,需重新配置日志目录权限。 #### 5. **安全模块限制** - **SELinux/AppArmor**:临时禁用测试: ```bash setenforce 0 # SELinux临时禁用 systemctl stop apparmor # AppArmor停止 ``` - 若问题解决,需添加自定义策略允许Nexus相关操作。 #### 6. **以调试模式启动** - 通过命令行手动启动Nexus并捕获输出: ```bash cd /opt/nexus/bin ./nexus run ``` - 观察控制台输出的异常信息(如`Permission denied`)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值