Tại sao sudo bắt buộc phải khởi động máy chủ web trên một cổng ip: cho trước?

Tôi đang thiết lập một máy chủ web dựa trên Python trên hộp Debian của mình.

Thiết lập:

• Hệ điều hành Debian dựa trên VM, nhưng tôi đã chuyển VirtualBox từ NAT sang Bridged.
• IP của thiết lập VM = 192.168.1.7(trên màn hình quản trị bộ định tuyến của tôi hoặc ifconfig).
• Tôi đã thiết lập chuyển tiếp cổng của bộ định tuyến cho cả ssh và HTTP.
• Tôi đã thiết lập thành công dns động của bộ định tuyến bằng dyndns.com.

Bất kể máy chủ web Python cụ thể nào tôi đang sử dụng (Django, CherryPy, thư viện chuẩn), tôi phải khởi động máy chủ web @ 192.168.1.7:80 bằng cách sử dụng sudo. Nếu không, tôi nhận được một lỗi về việc không có quyền truy cập vào cổng. Không có hướng dẫn máy chủ web nào đề cập đến việc cần sử dụng sudokhi chỉ định một cổng ip :.

Câu hỏi: tại sao tôi cần sử dụng sudođể khởi động các máy chủ web này? Có phải đó là một dấu hiệu cho thấy tôi không nên sử dụng 192.168.1.7? Hoặc là tôi không thiết lập một tập tin cấu hình đúng cách ở đâu đó?

Chỉ các quy trình có quyền root mới có thể lắng nghe trên các cổng đặc quyền. Đây là một quy ước bảo mật Unix tiêu chuẩn.

Đó là hành vi tiêu chuẩn mà người dùng không có đặc quyền không được phép liên kết với các cổng đặc quyền (số cổng dưới 1024). Do đó, một ứng dụng muốn liên kết với cổng 80 chẳng hạn sẽ phải chạy đặc quyền (thông thường điều này có nghĩa là chạy dưới quyền root) để liên kết với cổng này.

Một cách tiếp cận phổ biến là chạy một quy trình "người nghe" nhỏ với người dùng đặc quyền chấp nhận kết nối và sau đó sinh ra một quy trình không có đặc quyền để xử lý yêu cầu. Bỏ đặc quyền để xử lý yêu cầu được thực hiện vì lý do bảo mật. Nếu ai đó có thể khai thác quy trình xử lý yêu cầu, thì thông thường, nó cho phép kẻ xâm nhập thực thi các lệnh bằng cách sử dụng các đặc quyền giống như quy trình xử lý. Do đó, sẽ rất tệ khi xử lý toàn bộ yêu cầu bằng quy trình đặc quyền.

Tuy nhiên, đối với nhiều ứng dụng, ngày nay nó chạy không phải là root; nhưng các quá trình như vậy tất nhiên không thể liên kết với các cổng đặc quyền sau đó trong cấu hình tiêu chuẩn. Vì vậy, các máy chủ như Tomcat hoặc JBoss được sử dụng để liên kết với các cổng cao như 8080 thay vào đó, vì vậy họ không cần một người nghe đặc quyền.

Tất nhiên, nếu bạn đưa ra một quy trình như vậy với internet, bạn có thể sẽ cung cấp quyền truy cập trên cổng 80 vì mỗi trình duyệt trước tiên sẽ cố gắng kết nối với cổng 80 khi sử dụng giao thức HTTP. Cách làm việc chung để cung cấp điều này là sử dụng tường lửa hoặc trình dịch cổng ở giữa ứng dụng và internet công cộng. Vì vậy, các yêu cầu tấn công tường lửa yêu cầu cổng 80 nhưng tường lửa chuyển tiếp yêu cầu đến một số máy chủ nội bộ trên cổng 8080. Bằng cách này, máy chủ web thực sự có thể hoạt động trên các cổng cao trong khi có sẵn công khai trên cổng 80.

- (internet request) ----> (port 80)[Firewall] ------> (port 8080)[Webserver]

Đôi khi việc chuyển hướng này được thực hiện đơn giản bằng cách sử dụng iptablesquy tắc NAT:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Điều này cho phép chạy một ứng dụng không có đặc quyền nghe trên cổng 8080 trong khi tất cả các yêu cầu đến cho cổng 80 chỉ được chuyển hướng đến cổng 8080.

Tuy nhiên, sử dụng các nhân Linux hiện đại, có một khả năng khác: Sử dụng các khả năng.

setcap CAP_NET_BIND_SERVICE=+ep /some/webserver/binary

Điều này sẽ cho phép binaryliên kết với các cổng đặc quyền ngay cả khi bắt đầu như từ người dùng không root. Xem man capabilitiesđể biết thêm chi tiết.