Hi,
zweite Frage für heute: kann ich als normaler user etwas auf port 1-1024 hosten die ja eigentlich dem root vorbehalten sind. Möchte nämlich ungern die server dann als root ausführen (sicherheitsrisiko). Oder lässt sich das nicht umgehen? Und JA es muss einer der ports von 1-1024 sein...

Hi,
zweite Frage für heute: kann ich als normaler user etwas auf port 1-1024 hosten die ja eigentlich dem root vorbehalten sind. Möchte nämlich ungern die server dann als root ausführen (sicherheitsrisiko). Oder lässt sich das nicht umgehen? Und JA es muss einer der ports von 1-1024 sein...
IMHO nein.


iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT --to-port 8080

Hiermit leitest Du alles von Port 80 an den Port 8080. Und an diesen kannst Du Dein Programm als normaler User binden. ;-)
Aber beachte, lokale Requests werden nicht über diesen iptables Eintrag geleitet. Nur die wo von extern kommen!!!

Gruß Matthias

So ziemlich jede Server-Software hat das Feature den Benutzer zu wechseln, nachdem sie gestartet wurde. Funktioniert folgendermaßen:
-Programm wird als root gestartet
-Programm holt sich einen priviligierten Port
-Programm wechselt seine Nutzeridentität zu einem unpriviligierten Nutzer->kein Sicherheitsrisiko mehr

Das kann dein Server sicherlich auch (außer er ist selbstgebastelt), einfach mal in der Doku nachlesen.

juhu vielen lieben dank :D !!!

aber ist das denn auch richtig? Bin kein so toller iptables crack, aber bräuchte ich nicht das selbe auch noch für die eingehenden Pakete? oder betrifft die Rule jetzt beides, eingehende und ausgehende?!

juhu vielen lieben dank :D !!!

aber ist das denn auch richtig? Bin kein so toller iptables crack, aber bräuchte ich nicht das selbe auch noch für die eingehenden Pakete? oder betrifft die Rule jetzt beides, eingehende und ausgehende?!
Outbound Connections haben immer einen Port > 1024 ;-)