Belirli bir ip: bağlantı noktasında bir web sunucusu başlatmak için sudo neden gereklidir?

Debian kutumda Python tabanlı bir web sunucusu kuruyorum.

Kurmak:

• Debian işletim sistemi VM tabanlıdır, ancak VirtualBox'ı NAT'tan Bridged'a değiştirdim.
• VM kurulumunun IP'si = 192.168.1.7(yönlendiricimin yönetici ekranına veya ifconfig).
• Hem ssh hem de HTTP için yönlendiricimin bağlantı noktası yönlendirmesini başarıyla ayarladım.
• Başarıyla yönlendiricimin dinamik dns dyndns.com kullanarak kurdum.

Kullandığım belirli Python web sunucusu ne olursa olsun (Django, CherryPy, standart kütüphane), kullanarak web sunucusu @ 192.168.1.7:80 başlatmak zorunda sudo. Aksi takdirde, bağlantı noktasına erişim iznine sahip olmamakla ilgili bir hata alıyorum. Web sunucusu öğreticilerinin hiçbiri sudobir ip: bağlantı noktası belirtirken kullanılması gerektiğini belirtmez.

Soru: sudoBu web sunucularını başlatmak için neden kullanmalıyım ? Kullanmamam gerektiğinin bir göstergesi 192.168.1.7mi? Yoksa bir yerde bir yapılandırma dosyası düzgün ayarlamıyor musunuz?

Yalnızca kök izinleri olan işlemler ayrıcalıklı bağlantı noktalarını dinleyebilir. Bu standart bir Unix güvenlik kuralıdır.

Ayrıcalıklı olmayan kullanıcıların ayrıcalıklı bağlantı noktalarına (1024'ün altındaki bağlantı noktası numaraları) bağlanmasına izin verilmemesi standart davranıştır. Bu nedenle, örneğin bağlantı noktası 80'e bağlanmak isteyen bir uygulamanın, bu bağlantı noktasına bağlanmak için ayrıcalıklı (genellikle bu, kök olarak çalıştırmak anlamına gelir) çalışması gerekir.

Ortak bir yaklaşım, bağlantıyı kabul eden ve daha sonra isteği işlemek için ayrıcalıklı olmayan bir süreç oluşturan ayrıcalıklı kullanıcıyla küçük bir "dinleyici" süreci çalıştırmaktır. Güvenlik nedeniyle istek işleme için bırakma ayrıcalıkları yapılır. Birisi isteği işleyen işlemden yararlanabiliyorsa, genellikle davetsiz misafirin işleme işlemiyle aynı ayrıcalıkları kullanarak komutları yürütmesine izin verir. Bu nedenle, tüm isteği ayrıcalıklı bir işlem kullanarak ele almak kötü olur.

Bununla birlikte, birçok uygulama için günümüzde kök olmayan olarak çalışmak yaygındır; ancak bu tür işlemler elbette ayrıcalıklı bağlantı noktalarına daha sonra standart yapılandırmada bağlanamaz. Bu yüzden Tomcat veya JBoss gibi sunucular 8080 gibi yüksek bağlantı noktalarına bağlanırdı, böylece ayrıcalıklı bir dinleyiciye ihtiyaç duymazlar.

Elbette böyle bir işlemi internete maruz bırakırsanız, her tarayıcı ilk önce HTTP protokolü kullanıldığında 80 numaralı bağlantı noktasına bağlanmaya çalışacağı için muhtemelen 80 numaralı bağlantı noktasına erişim sağlarsınız. Bunu sağlamak için yaygın olarak kullanılan çözüm, uygulama ve genel internet arasında bir güvenlik duvarı veya bağlantı noktası çevirmeni kullanmaktır. Bu nedenle, istekler güvenlik duvarı 80 numaralı bağlantı noktasını isteyen güvenlik duvarına çarptı, ancak güvenlik duvarı isteği 8080 numaralı bağlantı noktasında bir iç ana bilgisayara iletir. Bu şekilde, gerçek web sunucusu 80 numaralı bağlantı noktasında halka açıkken yüksek bağlantı noktalarında çalışabilir.

- (internet request) ----> (port 80)[Firewall] ------> (port 8080)[Webserver]

Bazen bu yönlendirme basitçe iptablesNAT kuralı kullanılarak yapılır :

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Bu, 8080 numaralı bağlantı noktasını dinlerken ayrıcalıklı olmayan bir uygulamanın çalıştırılmasına izin verirken, 80 numaralı bağlantı noktasına gelen tüm istekler yalnızca 8080 numaralı bağlantı noktasına yeniden yönlendirilir.

Ancak modern Linux çekirdekleri kullanmanın başka bir olasılığı daha var: Kullanım yetenekleri.

setcap CAP_NET_BIND_SERVICE=+ep /some/webserver/binary

Bu, binaryroot olmayan kullanıcıdan başlatılmış olsa bile ayrıcalıklı bağlantı noktalarına bağlanmaya izin verir . Daha man capabilitiesfazla bilgi için bakınız.