Запрет использования порта для службы

[l0stparadis3]

На сервере стоит apache и socks-сервер dante. Изначально в dante стоял порт 1080, все работало нормально. Затем понадобилось поменять порт на что-то научно-популярное, выбрал 443, потому что не использую все равно. Выключил апач, запустил данте - не работает, ошибка при бинде на порт 443. Думаю, апач виноват - пересобрал с use="-ssl". Проблема не исчезла.
Данте стартовал от пользователя sockd. Поменял на рута - все отлично заработало. Собственно, как сделать так, чтобы сервер мог использовать порт 443 не только от рута, но и от собственного пользователя?

[serzh-z]

как сделать так, чтобы сервер мог использовать порт 443 не только от рута, но и от собственного пользователя?

Использовать inetd/xinetd. Они умеют запускать сервис от обычного пользователя.

[Corvus]

Порты <1024 считаются привелегированными.

[xorader]

> Собственно, как сделать так, чтобы сервер мог использовать порт 443 не только от рута, но и от собственного пользователя?

Тут только патчить ядро.

> Собственно, как сделать так, чтобы сервер мог использовать порт 443 не только от рута, но и от собственного пользователя?

Тут только патчить ядро.

....ну или iptables'ом forward'ить 443ий порт на другой повыше.

[serzh-z]

Зачем пачить, зачем головой об стену биться? Запускаем xinetd с нужным портом, которому указываем что коннект нужно передать другому сервису, который будет запущен от обычного пользователя.

[xorader]

Зачем пачить, зачем головой об стену биться? Запускаем xinetd с нужным портом, которому указываем что коннект нужно передать другому сервису, который будет запущен от обычного пользователя.

а можно пример конфига для xinetd для подобного ?

[l0stparadis3]

]Использовать inetd/xinetd. Они умеют запускать сервис от обычного пользователя.

Спасибо, попробую...

....ну или iptables'ом forward'ить 443ий порт на другой повыше.

Форвардить порт для прокси-сервера - как-то не кошерно звучит =)

[serzh-z]

а можно пример конфига для xinetd для подобного ?

Лех-ко:

service rsync
{
socket_type = stream
protocol = tcp
wait = no
user = serzh
server = /usr/bin/rsync
server_args = --daemon
}

"nc localhost 873" вынудит xinetd запустить rsync от обычного юзера и передать ему дескрипторы сокетов, присоединённых к привилегированным портам.

[xorader]

serzh-z, ты не понял а если мне сервер нужно демоном запускать ? ну не умеет он, к примеру запускаться для каждого коннекта отдельным процессом... и как же быть ? где серебрянная пуля?

P.S. может опция в xinet.d-конфиге redirect поможет ?!

P.P.S. да и асболютно дико для сервера расчитанного на большую нагрузку - создавать отдельный процесс-демон на каждый коннект!

[/dev/random]

Как правило, в таких случаях сервер берёт эту проблему на себя. Нужно запустить его от рута, а в конфиге указать пользователя, на которого он должен переключиться после успешного открытия привилегированного порта. Упомянутый топикстартером Dante эту возможность поддерживает.