网络 – 允许非root不可修改的软件绑定到端口80和443

我所在的公司使用Java安全应用程序管理器来“保护”他们的网络邮件和电子协作软件的非内部连接.

除了使用过期的证书,并且缺少权限JAR文件清单属性,软件运行正常,除了它需要绑定到端口80和443,这意味着运行它,我需要在以root身份运行的Firefox中运行Icedtea插件.无论如何,我可以让这个应用程序访问这些端口,而无需以root身份运行它. (出于安全原因).

解决方法:

reverse proxy后面运行软件.有很多可供选择.可能最受欢迎的是nginx,但许多Web服务器都有办法将它们配置为反向代理.还有像Apache Traffic Server这样的专用反向代理程序.

或者,如果您在Linux上运行,则可以执行NAT port forwarding via iptables.

这假设您可以将软件配置为绑定到非标准端口.代理或NAT将使软件看起来绑定到标准HTTP [S]端口.

如果软件不可配置,并且您没有内部功能来破解JAR文件以使其在非标准端口上运行,则可以在VM或专用计算机上运行该软件,其后果如何以root身份运行并不是一个问题.然后您可以像以前一样:NAT或代理专用服务器/ VM,以便它似乎直接从面向用户的计算机提供.

上一篇:实验二


下一篇:SQL Server concepts