| View previous topic :: View next topic |
| Author |
Message |
manu.acl
Guru
Joined: 29 Jan 2005
Posts: 426
Location: Paris
|
 Posted: Fri Apr 21, 2006 1:06 pm Post subject: [tomcat] changer le port d'écoute en dessous de 1024(résol |
 |
|
J'ai tomcat5 qui fonctionne bien avec le port d'écoute par défaut : 8080.
J'aimerais qu'il ait pour deuxième port d'écoute 443 car je dois y accéder au travers d'un proxy qui bloque le port 8080 tout en laissant ce dernier port ouvert pour permettre à d'autres personnes d'y accéder via le port par défaut.
Mon souci est que je n'arrive même pas à modifier le port d'écoute 
Dès que je modifie le port, tomcat se lance bien mais ne répond plus sur aucun des ports d'écoute...
| Code: | <!-- Define a non-SSL Coyote HTTP/1.1 Connector on port 443 -->
<Connector port="443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
debug="0" connectionTimeout="20000"
disableUploadTimeout="true" /> |
Et celà même avec iptables éteint. 
Last edited by manu.acl on Fri Apr 21, 2006 4:34 pm; edited 2 times in total |
|
| Back to top |
|
 |
manu.acl
Guru
Joined: 29 Jan 2005
Posts: 426
Location: Paris
|
| Posted: Fri Apr 21, 2006 1:19 pm Post subject: |
|
|
Je crois avoir trouvé d'où vient le problème ; dès que je spécifie un port en dessous de 1024 tomcat se lance mais le service semble ne pas pouvoir écouter sur le port spécifié...
Le hic c'est que tous les ports utilisables sont bloqués :s
Il y aurait-il un moyen de lancer tomcat sur le port 443 tout comme on peut le faire avec apache ?
[Edit]
Le log /var/log/tomcat/catalina.out |
|
| Back to top |
|
|
manu.acl
Guru
Joined: 29 Jan 2005
Posts: 426
Location: Paris
|
| Posted: Fri Apr 21, 2006 4:33 pm Post subject: |
|
|
Bon, j'ai opté pour la méthode bourrin à savoir
- ne lancer tomcat que sur le port 8080,
- utiliser iptables pour rediriger les requetes du port 443 vers le port 8080 :
| Code: | | iptables -t nat -A PREROUTING -i $IFACE_NET -p tcp --dport 443 -j REDIRECT --to-port 8080 |
|
|
| Back to top |
|
|
letoff
Apprentice
Joined: 04 Mar 2004
Posts: 163
Location: root in Paris, windsurfer in Brest
|
| Posted: Fri Apr 21, 2006 4:35 pm Post subject: |
|
|
Ce n'est pas catalina.log?
| Code: | | java.net.BindException: Permission denied:443 |
Sous Unix les ports inférieurs à 1024 ne peuvent être ouverts qu'avec les privilèges de root, or là c'est l'utilisateur tomcat qui essaye de lancer le service. Franchement je ne vois pas comment celà pourrait fonctionner. Pourquoi vouloir à tout prix utiliser le port du https et non pas le 1080 par ex, comme c'est souvent le cas?
[edit] J'ai lu trop vite ton message sans voir ton pb avec le proxy. 
_________________
Gentoo won't be suitable for server's use until GLEP 19 is alive. |
|
| Back to top |
|
|
manu.acl
Guru
Joined: 29 Jan 2005
Posts: 426
Location: Paris
|
| Posted: Fri Apr 21, 2006 7:33 pm Post subject: |
|
|
| letoff wrote: | Sous Unix les ports inférieurs à 1024 ne peuvent être ouverts qu'avec les privilèges de root, or là c'est l'utilisateur tomcat qui essaye de lancer le service. Franchement je ne vois pas comment celà pourrait fonctionner. Pourquoi vouloir à tout prix utiliser le port du https et non pas le 1080 par ex, comme c'est souvent le cas?
[edit] J'ai lu trop vite ton message sans voir ton pb avec le proxy. |
Tu remarqueras aussi que apache, qmail, ntp et bien d'autres services ne se lancent pas en root et ont des ports d'écoute inférieurs à 1024 (comme je l'ai vaguement précisé plus haut).
Alors pourquoi ne pourrais-je pas donner ce même droit à tomcat ? :]
C'était dès que j'ai vu le problème de port le but de mon post d'ailleurs :] |
|
| Back to top |
|
|
_droop_
l33t
Joined: 30 May 2004
Posts: 957
|
| Posted: Sat Apr 22, 2006 9:04 am Post subject: |
|
|
| manu.acl wrote: | Tu remarqueras aussi que apache, qmail, ntp et bien d'autres services ne se lancent pas en root et ont des ports d'écoute inférieurs à 1024 (comme je l'ai vaguement précisé plus haut).
Alors pourquoi ne pourrais-je pas donner ce même droit à tomcat ? :] |
En général, ces services se lancent en root puis changent d'utilisateur pour réduire leurs droits (pour la sécurité).
Voir man seteuid pour plus d'informations. |
|
| Back to top |
|
|
letoff
Apprentice
Joined: 04 Mar 2004
Posts: 163
Location: root in Paris, windsurfer in Brest
|
| Posted: Sat Apr 22, 2006 9:56 am Post subject: |
|
|
| manu.acl wrote: |
Alors pourquoi ne pourrais-je pas donner ce même droit à tomcat ? :]
C'était dès que j'ai vu le problème de port le but de mon post d'ailleurs :] |
Pour compléter ce que droop a écrit ci-dessus, saches que c'est dans le code même de l'application en question que se fait l'abandon des privilèges spécifiques. Il ne s'agit pas de donner un droit particulier à Tomcat, c'est à lui de se lancer sous le compte root puis d'abandonner ensuite ses privilèges pour réduire les failles de sécurité. Je te conseillerai de lire le man 7 capabilities tu apprendras plein de choses. 
Bon w-e.
_________________
Gentoo won't be suitable for server's use until GLEP 19 is alive. |
|
| Back to top |
|
|
|
French
