J'installe mon premier Node.jsserveur sur un cloud Linux nodeet je suis assez nouveau dans les détails de Linux admin. (BTW Je n'essaie pas d'utiliser Apache en même temps.)

Tout est installé correctement, mais j'ai trouvé qu'à moins d'utiliser le root login, je ne suis pas en mesure d'écouter port 80avec le nœud. Cependant, je préfère ne pas l'exécuter en tant que root pour des raisons de sécurité.

Quelle est la meilleure pratique pour:

1. Définir de bonnes autorisations / utilisateur pour le nœud afin qu'il soit sécurisé / en bac à sable?
2. Permettez au port 80 d'être utilisé dans ces contraintes.
3. Démarrez le nœud et exécutez-le automatiquement.
4. Gérer les informations du journal envoyées à la console.
5. Tout autre problème général de maintenance et de sécurité.

Dois-je transférer le trafic du port 80 vers un autre port d'écoute?

Merci

Port 80

Ce que je fais sur mes instances cloud, c'est que je redirige le port 80 vers le port 3000 avec cette commande:

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3000

Ensuite, je lance mon Node.js sur le port 3000. Les demandes sur le port 80 seront mappées sur le port 3000.

Vous devez également modifier votre /etc/rc.localfichier et ajouter cette ligne moins le sudo. Cela ajoutera la redirection au démarrage de la machine. Vous n'avez pas besoin sudoen /etc/rc.localparce que les commandes fonctionnent comme il sont rootau démarrage du système.

Journaux

Utilisez le module forever pour lancer votre Node.js avec. Il s'assurera qu'il redémarre en cas de panne et redirigera les journaux de la console vers un fichier.

Lancer au démarrage

Ajouter votre script Node.js commencent à le fichier que vous avez modifié pour la redirection de port, /etc/rc.local. Cela exécutera votre script de lancement Node.js au démarrage du système.

Océan numérique et autres VPS

Cela s'applique non seulement à Linode, mais aussi à Digital Ocean, AWS EC2 et à d'autres fournisseurs de VPS. Cependant, sur les systèmes basés sur RedHat /etc/rc.localest /ect/rc.d/local.

Donner à l'utilisateur autorisé l'autorisation d'utiliser le port 80

N'oubliez pas que nous ne voulons PAS exécuter vos applications en tant qu'utilisateur root, mais il y a un problème: votre utilisateur sécurisé n'a pas la permission d'utiliser le port HTTP par défaut (80). Votre objectif est de pouvoir publier un site Web que les visiteurs peuvent utiliser en accédant à une URL facile à utiliser commehttp://ip:port/

Malheureusement, sauf si vous vous connectez en tant que root, vous devrez normalement utiliser une URL comme http://ip:port- où le numéro de port> 1024.

Beaucoup de gens sont coincés ici, mais la solution est simple. Il y a quelques options mais c'est celle que j'aime. Tapez les commandes suivantes:

sudo apt-get install libcap2-bin
sudo setcap cap_net_bind_service=+ep `readlink -f \`which node\``

Maintenant, lorsque vous dites à une application Node que vous souhaitez qu'elle s'exécute sur le port 80, elle ne se plaindra pas.

Vérifiez ce lien de référence

Supprimez les privilèges root après vous être connecté au port 80 (ou 443).

Cela permet au port 80/443 de rester protégé, tout en vous empêchant de servir les demandes en tant que root:

function drop_root() {
    process.setgid('nobody');
    process.setuid('nobody');
}

Un exemple de travail complet utilisant la fonction ci-dessus:

var process = require('process');
var http = require('http');
var server = http.createServer(function(req, res) {
    res.write("Success!");
    res.end();
});

server.listen(80, null, null, function() {
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
    drop_root();
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
});

Voir plus de détails à cette référence complète .

Pour le port 80 (qui était la question d'origine), Daniel a tout à fait raison. J'ai récemment déménagé httpset j'ai dû passer iptablesà un proxy nginx léger gérant les certificats SSL. J'ai trouvé utile réponse avec un point essentiel par gabrielhpugliese sur la façon de gérer cela. Fondamentalement, je

• Création d'une demande de signature de certificat SSL (CSR) via OpenSSL

  openssl genrsa 2048 > private-key.pem
  openssl req -new -key private-key.pem -out csr.pem

• J'ai obtenu le certificat réel de l' un de ces endroits (j'ai utilisé Comodo )
• Nginx installé

• Changement de la locationdans /etc/nginx/conf.d/example_ssl.confla

  location / {
      proxy_pass http://localhost:3000;
      proxy_set_header X-Real-IP $remote_addr;
  }

• Formatage du certificat pour nginx en catregroupant les certificats individuels et lié à celui-ci dans mon example_ssl.conffichier nginx (et les éléments non commentés, débarrassé de `` exemple '' dans le nom, ...)

  ssl_certificate /etc/nginx/ssl/cert_bundle.cert;
  ssl_certificate_key /etc/nginx/ssl/private-key.pem;

J'espère que cela peut sauver quelqu'un d'autre de maux de tête. Je suis sûr qu'il y a une façon pure de faire ça, mais nginx a été rapide et cela a fonctionné.