Victor Wagner -> debian-russian@lists.debian.org  @ Fri, 2 Mar 2018 12:24:15 
+0300:

 > Коллеги,

 > Вот есть такая проблема: Имеется java-приложение (jenkins) которое
 > умеет работать веб-сервером, в том числе и по https. 

 > Ставится оно из deb-пакета, предоставляемого производителем приложения
 > и работает от своего собственного непривилегированного юзера.

 > В пакете есть файлик в /etc/defaults через который можно много что
 > настроить, в частности порты на которых слушает web-сервер.

 > Проблема в том. что хочется чтобы оно слушало на дефолтном порту для
 > https, т.е. 443.

 > Для того, чтобы java-приложению дали прибиндиться к порту < 1024, надо
 > сделать 

 > sudo setcap CAP_NET_BIND_SERVICE=+eip /usr/bin/java

 > Мне, в принципе не жалко, большой дыры в безопасности мне это не
 > создаст (тем более что машинка в интранете). Проблема в другом.
 > Через пару месяцев другой сотрудник, которому либо я забыл рассказать
 > про setcap, либо я рассказал, да он забыл, сделает на этой машинке
 > apt-get upgrade, и к нему приедет апгрейд OpenJDK. И при изменении
 > бинарника capabilities слетят. И jenkins перестанет запускаться.

Ну, вообще в жабовебе и скаловебе рекомендованное решение - reverse HTTP
proxy. Он же и TLS займется.

Ответить