Как правильно разрешить прослушивание привилегированного порта Java-приложению?

Question

izstas @izstas

Как правильно разрешить прослушивание привилегированного порта Java-приложению?

Имеется сервер с Debian Squeeze, имеется JRE 7 от Oracle, имеется Java-приложение, которому нужно прослушивать несколько привилегированных портов (ниже 1024).

Способы, которые я пробовал:

authbind — не поддерживает IPv6 и, что странно, работает только для портов ниже 512.
Переадресация через iptables — увы, ip6tables его не поддерживает.
Разрешение CAP_NET_BIND_SERVICE через setcap — JRE начинает выдавать при запуске ошибку
```
java: error while loading shared libraries: libjli.so: cannot open shared object file: No such file or directory
```

Какие пути ещё есть? Проект, конечно, личный и запускать его от root можно (что я и делаю сейчас), но хотелось бы сделать более правильно.

Вопрос задан более трёх лет назад
3777 просмотров

1 комментарий

Подписаться 5 Оценить 1 комментарий

Пригласить эксперта

Ответы на вопрос 4

3 комментария

izstas @izstas Автор вопроса

Т.е. вы предлагаете сделать переадресацию на непривилегированный порт и слушать его?
Есть ли поддержка IPv6?

Написано более трёх лет назад
YourChief @YourChief

ага. предлагаю. не знаю, думал вы проверите

Написано более трёх лет назад
YourChief @YourChief

похоже, не поддерживает. у меня в запасе осталось одно решение, которое точно сработает, но оно слишком отчаянное. если ничего не придумаете, загляните под спойлер.

last resort solution
использовать xinetd, нацеленный на прослушивание AF_INET6 порта, который запускал бы nc6 в качестве бакэнда с нужным адресом и портом в аргументе. небольшой плюс заключается в том, что можно тогда слушать джава-приложением только inet4-интерфейс, а вот таким образом собирать и на него inet6-соединения. минусы — их много =)

Написано более трёх лет назад

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Системное администрирование

+3 ещё

Простой
Как и чем лучше делать бэкап баз 1c?
- 2 подписчика
- 16 часов назад
- 303 просмотра
7

ответов
Сетевое администрирование

+1 ещё

Простой
Настроить wake on lan для AnyDesk?
- 5 подписчиков
- 19 часов назад
- 2331 просмотр
3

ответа
Linux

+1 ещё

Средний
Как исправить ошибку «Meego grubby fatal error: unable to find a suitable template»?
- 1 подписчик
- вчера
- 50 просмотров
1

ответ
Android

+3 ещё

Средний
Как получить разрешение для автостарта (чтобы при старте оно загружалось) для приложения под Андройд (Android)?
- 1 подписчик
- вчера
- 59 просмотров
0

ответов
Системное администрирование

+3 ещё

Простой
Есть работающий сервер с ProxMox, но как решить проблему с работой жестких дисков?
- 1 подписчик
- вчера
- 146 просмотров
3

ответа
Linux

+2 ещё

Средний
Не вижу вводимые символы в консоли Debian 10?
- 2 подписчика
- вчера
- 209 просмотров
0

ответов
Linux

+1 ещё

Простой
Как создать свой образ Linux для размноживания на других АРМ?
- 1 подписчик
- 23 апр.
- 184 просмотра
4

ответа
Debian

Простой
Как в Debian с помощью find нати каталоги созданные 1 час назад?
- 1 подписчик
- 22 апр.
- 49 просмотров
2

ответа
Java

Простой
Как сделать глобальный чат Chatty?
- 1 подписчик
- 20 апр.
- 69 просмотров
0

ответов
Java

+2 ещё

Простой
Selenide + Spring Boot. Как объявить страницу через метод open(), если класс страницы является bean?
- 1 подписчик
- 19 апр.
- 41 просмотр
0

ответов
Показать ещё Загружается…

Lead Java

Bell Integrator • Ульяновск

До 400 000 ₽

Lead Java

Bell Integrator • Хабаровск

До 400 000 ₽

Java-разработчик

ДАЛЕЕ

от 200 000 ₽

Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL

25 апр. 2024, в 05:57

3000 руб./за проект

Правки в webApp готового и написанного телеграмм бота next, tailwind

25 апр. 2024, в 05:29

25000 руб./за проект

Фронтер - DevOps. Развернуть фронт на хостинге. Прокинуть в телегу-бот

25 апр. 2024, в 04:38

10000 руб./за проект

а какие именно это порты? нет ли готовых программных балансеров/обратных прокси для них?

Answer 1 · 2012-07-13 01:08:50

YourChief @YourChief

а если rinetd?

Ответ написан более трёх лет назад

3 комментария

Answer 2 · 2012-07-13 09:52:01

hard0ff @hard0ff

Создайте отдельного системного пользователя: useradd -r

Ответ написан более трёх лет назад

Комментировать

Answer 3 · 2012-07-13 10:03:52

Можно ещё собрать своё ядро, для этого в файле .../include/net/sock.h заменить PROT_SOCK с 1024 на 0.
Хотя этот вариант не всегда возможен и понижает безопасность системы.

Answer 4 · 2012-07-13 12:00:54

Не знаю насколько это вам подойдёт, но можно сделать с использованием Commons Daemon. Он позволяет запустить и инициализировать приложение (забиндиться на порты меньше 1024 например) от рута, а после сбросить привилегии до уровня необходимого вам юзера.

Как правильно разрешить прослушивание привилегированного порта Java-приложению?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт