有没有办法让 Tomcat 在绑定到特权端口后放弃权限?

Is there any way to get Tomcat to drop privileges after binding to privileged ports?

提问人:Stephen Carville 提问时间:7/16/2023 更新时间:7/16/2023 访问量:30

问:

我们有一个开发团队,他们希望将 Apache 前端放到他们维护的网站上,并且只使用 Tomcat。此站点可从公共 Internet 访问,并且必须在端口 443 上支持 SSL。Apache httpd 目前还重定向端口 80 -> 443,但这对客户端来说更方便,而不是要求。

现在,httpd 负责 SSL 和 SNI,并管理一些标头,例如 CSP 和 HSTS。它使用 AJP 与 Tomcat 实例进行通信。虽然父 httpd 进程需要以 root 身份运行以绑定到端口 80 和 443 并读取私钥文件,但子进程将权限丢弃到受限帐户(巧妙地称为“apache”)以实际处理客户端请求。

有没有办法让 Tomcat 做同样的事情?以 root 身份启动以绑定到特权端口,但对于客户端请求,请像 httpd 一样回退到特权较低的帐户。

还有其他可用的解决方案,例如使用 F5、梭子鱼 WAF 或 Haproxy 在第 4 层转发,并将端口转换为 Web 服务器。我只是不想建议在没有诚实地检查使用 Tomcat 作为 Web 服务器可以按照我们的最佳实践完成的情况下拒绝请求。

Apache Security Tomcat 权限

评论

答: 暂无答案

上一个:在 Docker 容器中对 Apache 和 2 个 Tomcats 进行负载均衡时,无法正确设置我的端口

下一个:Tomcat 8.5.5 抛出 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun java.lang.IllegalArgumentException