Я настраиваю свой первый Node.jsсервер на, cloud Linux nodeи я довольно плохо знаком с деталями Linux admin. (Кстати, я не пытаюсь использовать Apache одновременно.)

Все установлено правильно, но я обнаружил, что, если я не использую root login, я не могу слушать port 80с узла. Однако я бы не хотел запускать его как root по соображениям безопасности.

Какова лучшая практика для:

1. Установить хорошие права доступа / пользователя для узла, чтобы он был безопасным / изолированным?
2. Разрешить использование порта 80 в рамках этих ограничений.
3. Запустите узел и запустите его автоматически.
4. Обработка информации журнала, отправленной на консоль.
5. Любые другие вопросы общего обслуживания и безопасности.

Должен ли я перенаправлять трафик порта 80 на другой порт прослушивания?

Спасибо

Порт 80

На моих экземплярах в облаке я перенаправляю порт 80 на порт 3000 с помощью этой команды:

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3000

Затем я запускаю свой Node.js на порту 3000. Запросы на порт 80 будут сопоставлены с портом 3000.

Вы также должны отредактировать ваш /etc/rc.localфайл и добавить эту строку минус sudo. Это добавит перенаправление при загрузке машины. Вам не нужно sudoв /etc/rc.localпотому , что команды там работают как rootпри загрузке системы.

бревна

Используйте модуль forever для запуска вашего Node.js с. Он удостоверится, что перезапустится, если произойдет сбой, и перенаправит журналы консоли в файл.

Запустить при загрузке

Добавьте ваш Node.js запустить скрипт в файл вы редактировали для перенаправления портов, /etc/rc.local. Это запустит ваш скрипт запуска Node.js при запуске системы.

Digital Ocean и другие VPS

Это относится не только к Linode, но и к Digital Ocean, AWS EC2 и другим VPS-провайдерам. Тем не менее, на основе систем RedHat /etc/rc.localесть /ect/rc.d/local.

Дайте безопасное пользовательское разрешение на использование порта 80

Помните, мы НЕ хотим запускать ваши приложения от имени пользователя root, но есть загвоздка: ваш безопасный пользователь не имеет разрешения использовать порт HTTP по умолчанию (80). Ваша цель - иметь возможность публиковать веб-сайт, который могут использовать посетители, перейдя по такому простому URL-адресу, какhttp://ip:port/

К сожалению, если вы не войдете в систему как root, вам обычно придется использовать URL-адрес, например, http://ip:portгде номер порта> 1024.

Многие люди застряли здесь, но решение легко. Там несколько вариантов, но это тот, который мне нравится. Введите следующие команды:

sudo apt-get install libcap2-bin
sudo setcap cap_net_bind_service=+ep `readlink -f \`which node\``

Теперь, когда вы сообщаете приложению Node, что хотите, чтобы оно работало на порту 80, оно не будет жаловаться.

Проверьте эту ссылку ссылку

Отбросьте привилегии root после привязки к порту 80 (или 443).

Это позволяет порту 80/443 оставаться защищенным, в то же время не позволяя обслуживать запросы от имени root:

function drop_root() {
    process.setgid('nobody');
    process.setuid('nobody');
}

Полный рабочий пример с использованием вышеуказанной функции:

var process = require('process');
var http = require('http');
var server = http.createServer(function(req, res) {
    res.write("Success!");
    res.end();
});

server.listen(80, null, null, function() {
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
    drop_root();
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
});

Подробности смотрите в этом полном справочнике .

Для порта 80 (который был первоначальный вопрос), Даниэль совершенно прав. Недавно я перешел на httpsи должен был переключиться iptablesна легкий прокси-сервер nginx, управляющий сертификатами SSL. Я нашел полезный ответ вместе с сутью по gabrielhpugliese о том , как справиться с этим. В основном я

• Создан запрос на подпись сертификата SSL (CSR) через OpenSSL

  openssl genrsa 2048 > private-key.pem
  openssl req -new -key private-key.pem -out csr.pem
  

• Получил настоящий сертификат из одного из этих мест (мне довелось использовать Comodo )
• Установленный nginx

• Поменял locationв /etc/nginx/conf.d/example_ssl.confна

  location / {
      proxy_pass http://localhost:3000;
      proxy_set_header X-Real-IP $remote_addr;
  }
  

• Отформатировал сертификат для nginx, catсобрав вместе отдельные сертификаты и связав его с ним в моем example_ssl.confфайле nginx (и не комментируя, избавился от «примера» в названии, ...)

  ssl_certificate /etc/nginx/ssl/cert_bundle.cert;
  ssl_certificate_key /etc/nginx/ssl/private-key.pem;
  

Надеюсь, что это может спасти кого-то еще от некоторых головных болей. Я уверен, что есть способ сделать это на чистом узле, но nginx был быстрым и сработал.