在 Linux 上，人们是否会 chroot Java Web 应用程序或使用 IPTables 并以非 root 身份运行？

Question

当您运行一个 Java Servlet 容器并希望在端口 80 上提供静态和动态内容时，您会遇到一个经典问题：是否以以下方式运行服务器：

1. 如果可以的话，希望以 chroot 监狱的 root 身份运行（还没有得到这个） 作为非 root 用户，然后
2. 使用 IPTables 将端口 80 转发到容器运行的其他端口 (>1024)
3. 两者：作为非 root 用户、IPTables 和 chroot Jail。

opt 的问题。 1是chrooting的复杂性以及运行root的安全问题。opt的问题。 2 是每个 Linux 发行版都有不同的持久 IPTables 的方式。选项 3 当然可能是个主意，但很难设置。

最后，每个发行版在守护进程脚本中都有令人烦恼的差异。

人们认为最好的发行版不可知解决方案是什么？是否有资源来展示如何做到这一点？

编辑：我不想在 servlet 容器前面运行 Apache，因为该站点主要是动态的，并且总内存占用很重要（托管成本）。

Answer 1

以非 root 身份运行并使用标准 Web 服务器 (apache) 或轻量级 Web 服务器（例如 lighttpd 或 nginx) 在端口 80 上重定向到您的实例。

这样做的优点是标准 Web 服务器可以提供静态内容，从而减少 Web 应用程序的负载。您甚至可以让它反向代理并缓存 Web 应用程序流量。

Answer 2

查看 authbind，它专门设计用于允许非 root 用户控制对特权端口的访问。

通过这种方式，您可以有效地将 Tomcat 用户的权限升级到您想要的 root 权限（打开特权端口），而不会给您的 webapp 进程带来不必要的权力来造成严重破坏。

Answer 3

我在端口 8080 上使用 jetty 并使用

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080重定向

Answer 4

最近在 Struts2 中发现的漏洞 - https://www.imperva.com/blog/2017/03/cve-2017-5638-new-remote-code-execution-rce-vulnerability-in-apache- struts-2/ - 清楚地表明以 root 身份运行是危险的。

Answer 5

为什么不简单地以 root 身份运行它呢？会发生什么坏事？

我从未听说过 java servlet 容器被黑客攻击，并且黑客可以突破 JVM 并获得对操作系统的访问权限。

假设这种情况发生了。黑客读取了 JVM 代码并发现了一个漏洞。他通过您的 servlet 容器侵入您的系统，并以运行 servlet 容器的用户身份登录。

那么你就完蛋了。服务器上最有价值和唯一有价值的东西都可供该用户访问。用户是普通用户并不重要。

如果该用户是 root，还会造成什么损害？操作系统是一次性的，只需擦拭干净并重新安装即可。