Sto configurando il mio primo Node.jsserver su un cloud Linux nodee sono abbastanza nuovo nei dettagli di Linux admin. (A proposito, non sto cercando di usare Apache contemporaneamente.)

Tutto è installato correttamente, ma ho scoperto che a meno che non utilizzi il root login, non sono in grado di ascoltare port 80con il nodo. Tuttavia preferirei non eseguirlo come root per motivi di sicurezza.

Qual è la migliore pratica per:

1. Impostare buone autorizzazioni / utente per nodo in modo che sia sicuro / sandbox?
2. Consentire l'utilizzo della porta 80 all'interno di questi vincoli.
3. Avvia nodo ed eseguilo automaticamente.
4. Gestire le informazioni del registro inviate alla console.
5. Qualsiasi altro problema generale di manutenzione e sicurezza.

Devo inoltrare il traffico della porta 80 a una porta di ascolto diversa?

Grazie

Porta 80

Quello che faccio sulle mie istanze cloud è il reindirizzamento dalla porta 80 alla porta 3000 con questo comando:

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3000

Quindi avvio Node.js sulla porta 3000. Le richieste sulla porta 80 verranno mappate sulla porta 3000.

Dovresti anche modificare il tuo /etc/rc.localfile e aggiungere quella riga meno il sudo. Ciò aggiungerà il reindirizzamento all'avvio della macchina. Non è necessario sudoin /etc/rc.localquanto i comandi non vengono eseguiti come rootquando il sistema si avvia.

logs

Usa il modulo forever per avviare Node.js con. Si assicurerà che si riavvii in caso di arresto anomalo e reindirizzerà i log della console su un file.

Avvio all'avvio

Aggiungi il tuo Node.js iniziano script per il file è stato modificato per il reindirizzamento della porta, /etc/rc.local. Ciò eseguirà lo script di avvio di Node.js all'avvio del sistema.

Digital Ocean e altri VPS

Questo non vale solo per Linode, ma anche Digital Ocean, AWS EC2 e altri provider VPS. Tuttavia, su sistemi basati su RedHat /etc/rc.localè /ect/rc.d/local.

Autorizza l'utente sicuro a utilizzare la porta 80

Ricorda, NON vogliamo eseguire le tue applicazioni come utente root, ma c'è un intoppo: il tuo utente sicuro non ha i permessi per usare la porta HTTP predefinita (80). Il tuo obiettivo è quello di essere in grado di pubblicare un sito Web che i visitatori possono utilizzare navigando verso un URL facile da usare comehttp://ip:port/

Sfortunatamente, a meno che non accediate come root, dovrete normalmente usare un URL come http://ip:port- dove numero di porta> 1024.

Molte persone rimangono bloccate qui, ma la soluzione è semplice. Ci sono alcune opzioni, ma questa è quella che mi piace. Digita i seguenti comandi:

sudo apt-get install libcap2-bin
sudo setcap cap_net_bind_service=+ep `readlink -f \`which node\``

Ora, quando dici a un'applicazione Node che vuoi che venga eseguita sulla porta 80, non si lamenterà.

Controlla questo link di riferimento

Rilascia i privilegi di root dopo aver eseguito il binding alla porta 80 (o 443).

Ciò consente alla porta 80/443 di rimanere protetta, impedendo comunque di servire le richieste come root:

function drop_root() {
    process.setgid('nobody');
    process.setuid('nobody');
}

Un esempio completo di funzionamento che utilizza la funzione sopra:

var process = require('process');
var http = require('http');
var server = http.createServer(function(req, res) {
    res.write("Success!");
    res.end();
});

server.listen(80, null, null, function() {
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
    drop_root();
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
});

Vedi maggiori dettagli a questo riferimento completo .

Per la porta 80 (che era la domanda originale), Daniel ha esattamente ragione. Di recente mi sono trasferito httpse ho dovuto passare da iptablesun proxy nginx leggero a gestire i certificati SSL. Ho trovato un utile risposta insieme a una sostanza da gabrielhpugliese su come gestire questo. Fondamentalmente io

• Creata una richiesta di firma del certificato SSL (CSR) tramite OpenSSL

  openssl genrsa 2048 > private-key.pem
  openssl req -new -key private-key.pem -out csr.pem

• Ho ottenuto il certificato reale da uno di questi posti (mi è capitato di usare Comodo )
• Nginx installato

• Cambiato il locationin /etc/nginx/conf.d/example_ssl.confa

  location / {
      proxy_pass http://localhost:3000;
      proxy_set_header X-Real-IP $remote_addr;
  }

• Formattato il certificato per nginx catmettendo insieme i singoli certificati e collegato ad esso nel mio example_ssl.conffile nginx (e cose non commentate, mi sono sbarazzato di 'esempio' nel nome, ...)

  ssl_certificate /etc/nginx/ssl/cert_bundle.cert;
  ssl_certificate_key /etc/nginx/ssl/private-key.pem;

Spero che possa salvare qualcun altro un po 'di mal di testa. Sono sicuro che esiste un modo puro di fare questo, ma nginx è stato rapido e ha funzionato.