我想在 Linux (Debian) 上以非特权用户身份运行 Glassfish v3,但使其在端口 80 上可用。我目前正在使用 iptables 执行此操作:
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 80 -j REDIRECT --to-port 8080
这有效,但我想知道:
- 如果这与直接绑定到端口 80 相比有任何显着的性能影响
- 如果我可以进行类似的设置也适用于 HTTPS(或者如果必须在 443 上运行)
- 如果有办法避免其他用户绑定到端口 8080(以防我的服务器崩溃) - 也许以某种方式永久阻止该端口对其他用户?
...或者如果我应该使用 authbind/privbind 代替?问题:到目前为止,我无法使其与 authbind 或 privbind 一起使用。
对于authbind,我将 asadmin 的最后一行编辑为:
exec authbind --deep "$JAVA" -Djava.net.preferIPv4Stack=true -jar ...
对于privbind:
exec privbind -u glassfish "$JAVA" -Djava.net.preferIPv4Stack=true -jar ...
(仅)通过这些设置,我可以成功执行create-domain --domainport 80. 这证明,authbind 和 privbind 确实有效(脚本的 authbind 版本由 glassfish 用户调用;privbind 版本当然由 root 调用)。但是,在这两种情况下,在启动域 ( ) 时,我都会遇到以下异常start-domain:
[#|2010-03-20T13:25:21.925+0100|SEVERE|glassfishv3.0|javax.enterprise.system.core.com.sun.enterprise.v3.server|_ThreadID=11;_ThreadName=FelixStartLevel;|Shutting down v3 due to startup exception : Permission denied: 80=com.sun.enterprise.v3.services.impl.monitor.MonitorableSelectorHandler@1fc25e5|#]
我还没有找到解决方案(在网上搜索之后,这似乎不是那么容易?)但也许,使用 iptables 的解决方案已经足够好了 - 你觉得呢?
谢谢,
克里斯
笔记:
在我的情况下,将 Apache 放在前面并不是一个好的解决方案——我计划使用 Comet,而 Comet 在没有代理的情况下工作得更好。
我在生产中一直使用 NAT。虽然它更常用于在 Intranet 和 Internet 之间进行转换,但以这种方式使用它也是完全可以接受的。对于几乎相同的情况,我做了类似的事情。话虽如此,还有其他选择。
应用程序服务器和 Web 服务器经常一起运行,因此在内部将 Java 保留在 8080 和 8443 上是有意义的。更常见的是,人们可能会使用 Apache 作为代理将某些请求转换为 Java,并从 Apache 实例提供静态内容。我了解您认为此解决方案对您来说是不可接受的,但必须说。
如果这不能涵盖您的问题,请随时阐述,我将进一步迭代。
编辑 1
别客气。NAT 不会影响 https 的正常运行,它可以正常工作。
我无法想象你为什么会担心其他非特权用户绑定到 8080。你的情况有什么独特之处吗?
您的 privbind 问题可能是 HOME 设置为 root 的结果。无论是我还是任何将从我那里获得 privbind 所有权的人都将尝试在下一个版本中修复它(现在会有下一个版本......)
看看在命令行开头添加“HOME=~glassfish”(假设 bourne 派生的 shell)是否可以解决问题(如果它仍然相关:自从提出这个问题已经四年了,毕竟......)
沙查尔