Как дать пользователю в Линуксе доступ к порту 80?

Question

[Святослав Хусамов]

Программу, которая пытается занять порт 80 (например apache), запустить можно от root.
А вот запустить от иного пользователя не получается. Ошибка нет привилегий на эту операцию.
Как дать доступ пользователю к этим привилегиям?

Команду sudo не предлагать, так как мне нужно избавиться от необходимости вводить какие-либо пароли.

Comments

[CityCat4]

sudo можно настроить на выполнение команды без запроса пароля.

Answer 1

[Mikhail Osher]

➜  ~ sudo cat /etc/sudoers | grep miraage
miraage ALL=(ALL) NOPASSWD: ALL

Сделайте то же самое в своем файле, разве что имя пользователя своё подставьте.

Comments

[Александр]

Михаил, а как дать этому юзеру права на конкретные вещи? чтобы он pm2 стартовал без судо, к примеру?

Answer 2

[Михаил .]

Порты < 1024 могут открываться только под рутом вроде.
Здесь подробнее (приведен пример перенаправления с 80 на 8080 порт).

Answer 3

[D']

Использовать sudo с настройкой запуска без пароля.

Comments

[Святослав Хусамов]

а просто привилегию дать нельзя?

[Святослав Хусамов]

Без пароля это имеется ввиду опция -p, --prompt=prompt ? Но по итогу все равно пароль нужно вводить либо в интерактивном режиме либо в опции -p, --prompt=prompt А задача состоит чтобы избавиться от необходимости вводить пароль

[D']

Сухроб Хусамов: Сложно? lmgtfy.com/?q=sudo+%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%...

[Святослав Хусамов]

D' Normalization: Спасибо за ответ! там написано Но будьте осторожны! То есть, ваше предложение вроде логичное, но снижмает безопасность сервера...

[D']

Сухроб Хусамов: и правильно написанно.

[Александр]

D' Normalization: flat humor? Оче тонко, да.

Answer 4

[Mystray]

Ну гуглится же ответ.
setcap 'cap_net_bind_service=+ep' /path/to/program

Now for the caveats:

• You will need at least a 2.6.24 kernel
  
• This won't work if your file is a script. (ie, uses a #! line to launch an interpreter). In this case, as far I as understand, you'd have to apply the capability to the interpreter executable itself, which of course is a security nightmare, since any program using that interpreter will have the capability. I wasn't able to find any clean, easy way to work around this problem.
  
• Linux will disable LD_LIBRARY_PATH on any program that has elevated privileges like setcap or suid. So if your program uses its own .../lib/, you might have to look into another option like port forwarding.

Comments

[Святослав Хусамов]

если программа находится под симлинком, причем путь к симлинку постоянный, а программа каждый раз там меняется на другую, причем с иным путем, то эта команда похоже не сработает... наверняка скажет, что программу подменили и запретит доступ. Да?

[Mystray]

Сухроб Хусамов: На симлинк в принципе нельзя дать capability.
Только на целевой бинарник. (скрипт тоже не подойдет, только ELF)
> usage: setcap [-q] [-v] (-r|-|) [ ... (-r|-|) ]
> Note must be a regular (non-symlink) file.

[Святослав Хусамов]

Mystray: я это подозревал, что симлинк не прокатит по соображениям безопасности. Спасибо за ответ! Но увы, такое решение не подходит, потому что там симлинк будет. Да еще и каждый раз программа новая по этому симлинку.

[Mystray]

Сухроб Хусамов: тогда только делать из системы проходной двор посредством sudoers %user ALL=/path/to-program NOPASSWD: ALL

[Святослав Хусамов]

Mystray: странно, но ведь доступ по root все равно имеется в наличии. Почему если мы для специально выделенного пользователя дадим повышение прав это проходной двор, а вот возможность залогиниться под рутом - не проходной двор???

[Mystray]

Сухроб Хусамов: я нигде не предлагал дать возможность залогиниться под рутом, не надо тут.
выдать привилегию - это дать возможность ИСКЛЮЧИТЕЛЬНО биндиться на сервисный порт без рута, просто от пользователя, и ничего более.
А вот запустить левый сервис от рута, который слушает сетевой порт и имеет возможность получать соединения извне, уверенности в безопасности которого нет - явно проходной двор.

[Святослав Хусамов]

Mystray: Вы не правильно поняли. Я имею ввиду, что любой, кто знает пароль к руту, может зайти на сервер. Значит проходной двор что-ли???

[Mystray]

Сухроб Хусамов: Не, я о другом. Вы собираетесь запускать некий непонятный сервис (по симлинку, каждый раз разный, непонятно откуда берущийся и слушающий публичный порт) ОТ РУТА с полным доступом к системе. Проломают ваш сервис - получают всю систему, а вы и не узнаете, пока абузы не начнут приходить.
Если же вы уверены в безопасности этого сервиса (то есть он не на коленке написан за ящик пива) то такой проблемы нет.
А вообще да, если у вас под рутом по паролю можно заходить на сервер, то он определенно проходной двор.

[Святослав Хусамов]

Mystray: понял. Этот непонятный сервис мой собственный компьютер на котором программа разрабатывается.

[Lindon_cano]

Сухроб Хусамов: 1. А вы не пускайте рута по паролю(да и вообще никого не пускайте)
2. Для sudo не нужен рутовый пароль

[Святослав Хусамов]

Lindon_cano: не понял, если я не пущу в рут по паролю, как я туда вообще войду??? сервер же удаленный

[Lindon_cano]

Сухроб Хусамов: https://www.opennet.ru/base/sec/ssh_pubkey_auth.tx...
https://habrahabr.ru/post/127521/
И далее по всему гуглу.
Запомните: «Авторизация по паролю небезопасно и не должна использоваться»
Правильные значения в /etc/ssh/sshd_config
PasswordAuthentication no
PermitRootLogin without-password
Только вход по ключам.

Никто не должен ходить по паролям. Ни пользователи простые, ни root.

[Святослав Хусамов]

Lindon_cano: понял. Теперь ясно что значит закрыть доступ по паролю. Спасибо!

[Lindon_cano]

Сухроб Хусамов: да не за что. Такие вещи надо рассказывать сразу, как человек получает доступ к собственному серверу, что бы потом ему не было больно и обидно.