Thank you for reading this post, don't forget to subscribe!
Запускаем сервис на привилегированном порту.
В качестве примера будет использоваться сервис jenkins.
По умолчанию jenkins запускается на порту 8080.
|
1 2 |
$ cat /etc/default/jenkins |
|
1 2 3 4 |
[…] # port for HTTP connector (default 8080; disable with -1) HTTP_PORT=8080 […] |
Изменение этого значения прекратит запуск службы.
$ sudo tail -20 /var/log/jenkins/jenkins.log
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
Caused: java.io.IOException: Failed to bind to 0.0.0.0/0.0.0.0:80 at org.eclipse.jetty.server.ServerConnector.openAcceptChannel(ServerConnector.java:349) at org.eclipse.jetty.server.ServerConnector.open(ServerConnector.java:310) at org.eclipse.jetty.server.AbstractNetworkConnector.doStart(AbstractNetworkConnector.java:80) at org.eclipse.jetty.server.ServerConnector.doStart(ServerConnector.java:234) at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73) at org.eclipse.jetty.server.Server.doStart(Server.java:401) at org.eclipse.jetty.util.component.AbstractLifeCycle.start(AbstractLifeCycle.java:73) at winstone.Launcher.(Launcher.java:192) Caused: java.io.IOException: Failed to start Jetty at winstone.Launcher.(Launcher.java:194) at winstone.Launcher.main(Launcher.java:369) at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) at java.base/java.lang.reflect.Method.invoke(Method.java:566) at Main._main(Main.java:375) at Main.main(Main.java:151) |
Вы можете решить эту проблему, используя возможности Linux, но это приложение на Java, которое использует собственный скрипт инициализации.
Остановите службу, если она в данный момент запущена.
|
1 2 |
$ sudo systemctl stop jenkins |
Создайте служебный юнит
|
1 |
$ cat << EOF | tee /etc/systemd/system/jenkins.service |
|
1 2 3 4 5 6 7 8 9 10 11 12 |
[Unit] Description=Jenkins Service [Service] ExecStart=/usr/bin/java -Djava.awt.headless=true -jar /usr/share/jenkins/jenkins.war -DJENKINS_HOME=/var/lib/jenkins --webroot=/var/cache/jenkins/war --httpPort=80 User=jenkins Restart=always [Install] WantedBy=multi-user.target EOF |
Создайте дополнительный файл конфигурации, который добавит возможность CAP_NET_BIND_SERVICE.
Тут использется файл конфигурации drop-in, чтобы можно было использовать его для других существующих служб.
|
1 2 |
$ mkdir /etc/systemd/system/jenkins.service.d |
|
1 2 |
$ echo -e "[Service]\nAmbientCapabilities=CAP_NET_BIND_SERVICE" | tee /etc/systemd/system/jenkins.service.d/capabilities.conf |
|
1 2 |
[Service] AmbientCapabilities=CAP_NET_BIND_SERVICE |
Перезагрузите конфигурацию systemd manager.
|
1 2 |
$ systemctl daemon-reload |
Запустите сервис jenkins.
|
1 2 |
$ systemctl start jenkins |
Проверьте статус службы.
|
1 |
$ systemctl status jenkins |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
● jenkins.service - Jenkins Service Loaded: loaded (/etc/systemd/system/jenkins.service; disabled; vendor preset: enabled) Drop-In: /etc/systemd/system/jenkins.service.d └─capabilities.conf Active: active (running) since Tue 2021-03-30 21:58:20 UTC; 10s ago Main PID: 10545 (java) Tasks: 57 (limit: 19005) Memory: 1.7G CGroup: /system.slice/jenkins.service └─10545 /usr/bin/java -Djava.awt.headless=true -jar /usr/share/jenkins/jenkins.war -DJENKINS_HOME=/var/lib/jenkins --webroot=/var/cache/jenkins/war --httpPort=80 Mar 30 21:58:23 jenkins java[10545]: ************************************************************* Mar 30 21:58:23 jenkins java[10545]: ************************************************************* Mar 30 21:58:23 jenkins java[10545]: ************************************************************* Mar 30 21:58:23 jenkins java[10545]: Jenkins initial setup is required. An admin user has been created and a password generated. Mar 30 21:58:23 jenkins java[10545]: Please use the following password to proceed to installation: Mar 30 21:58:23 jenkins java[10545]: 249a5f9f4c659a0438294a9325d91a20 Mar 30 21:58:23 jenkins java[10545]: This may also be found at: /var/lib/jenkins/.jenkins/secrets/initialAdminPassword Mar 30 21:58:23 jenkins java[10545]: ************************************************************* Mar 30 21:58:23 jenkins java[10545]: ************************************************************* Mar 30 21:58:23 jenkins java[10545]: ************************************************************* |
Для таких сервисов, как nginx, AdGuardHome, требуется только соответствующий подключаемый файл.
В этих случаях вы также можете установить возможность непосредственно для исполняемого файла, но постарайтесь избегать такого поведения.
|
1 |
$ sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/AdGuardHome/AdGuardHome |