Re: Java https сервер на умолчательном порту
Hello Victor,
On Fri, 2 Mar 2018 12:24:15 +0300
Victor Wagner <v.wagner@postgrespro.ru> wrote:
> sudo setcap CAP_NET_BIND_SERVICE=+eip /usr/bin/java
>
> Мне, в принципе не жалко, большой дыры в безопасности мне это не
> создаст (тем более что машинка в интранете). Проблема в другом.
> Через пару месяцев другой сотрудник, которому либо я забыл рассказать
> про setcap, либо я рассказал, да он забыл, сделает на этой машинке
> apt-get upgrade, и к нему приедет апгрейд OpenJDK. И при изменении
> бинарника capabilities слетят. И jenkins перестанет запускаться.
>
> Вопрос в том, а куда бы наиболее соответствующим политике дистрибутива
> способом прописать скрипт, который будет делать этот вызов setcap,
> чтобы быть уверенным что в момент запуска jenkins бинарник java будет
> иметь требуемые capabilities?
Видимо нужен механизм вроде dpkg-statoverride. Но вроде не припомню
такого. Как вариант сделать Dpkg::Post-Invoke в настройках apt, чтобы
вызывать скриптик, проверяющий и устанавливающий. Несколько костыль, но
по крайней мере рабочий.
> (кстати из man setcap я не понял что произойдет с capabilities при
> простой перезагрузке, без изменения бинарника - сбросятся они или нет?
> Вроде у нас persistent state в linux не принят).
capabilities это же xattr.
--
Best regards,
Alexander Gerasiov
Contacts:
e-mail: gq@cs.msu.su WWW: http://gerasiov.net TG/Skype: gerasiov
PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Reply to: