Matze202 | naja ich mach mal schluß, vielleicht bis morgen gn8 @all | 00:15 |
---|---|---|
=== garply_ is now known as garply | ||
=== rosseaux_ is now known as rosseaux | ||
=== alamar is now known as Guest67830 | ||
=== Jochen_wvdT is now known as Schlawiner | ||
=== Geruchsfernsehe1 is now known as Geruchsfernsehen | ||
doev | guten Morgen | 07:15 |
doev | Ich würde erwarten, dass bei iostat sich die Werte mit der Zeit ändern. Sollte das nicht so sein? | 07:15 |
zeitsofa | tun sie hier auch! | 07:31 |
doev | zeitsofa, ich hatte es mit watch benutzt ... und das geht aus irgend einem Grund nicht. iostat 1 -x funktioniert. | 07:40 |
doev | anderes Problem: | 07:42 |
doev | Ich lasse einen Server mit normalem Benutzer laufen. Der muss aber privilegierte Ports öffnen können. Mit "setcap ..." gebe ich der Anwendung die Rechte ... unabhängig welcher Benutzer sie startet? | 07:44 |
Frickelpit | Wieso muss der unterhalb von 1024 Ports öffnen können? | 07:45 |
doev | Weil unser BossAdmin den nicht auf dauert über 8443 (https) laufen lassen will. | 07:45 |
Frickelpit | Dann konfiguriert den Service so, dass der 443 o.ä. nutzen kann. | 07:47 |
doev | wie gesagt, da fehlen dem User die Rechte. | 07:47 |
doev | ... und als Service habe ich den noch nicht konfiguriert. .... meinst du das würde darüber besser funktionieren? | 07:48 |
Frickelpit | doev: was soll denn da auf den Ports lauschen für ein Dienst? | 07:49 |
doev | jira und confluence | 07:49 |
doev | also zwei tomcats | 07:49 |
Frickelpit | Da sollten aber dann service files vorhanden sein, ansonsten kannste auch selber units erstellen | 07:51 |
doev | und über den Service gibts auch Rechte für <1024? | 07:54 |
Frickelpit | wenn der service als user root gestartet wird oder mit einem user, der diese Rechte besitzt | 07:55 |
doev | wollte es nicht als root laufen lassen, deswegen habe ich als normaler user installiert. | 07:57 |
Frickelpit | Ich kenn jetzt die Configs von Jira oder Confluence nicht aber es gibt bestimmt die Möglichkeit, dass beide Services als nciht-root User laufen. Geht ja nur um den Start des Dienstes. | 07:59 |
Frickelpit | s/nciht/nicht/ | 07:59 |
_moep_ | moin, ich schraube gerade an nginx und letsencrypt rum: https://pastebin.com/QBSYbP7N | 08:19 |
le_bot | Title: [Bash] /etc/nginx/site-available: server { listen *:80; listen [::]:80; - Pastebin.com (at pastebin.com) | 08:19 |
_moep_ | der certbot kann aber nicht auf das zugreifen und ich bin - jetzt schon - am haare raufen | 08:20 |
Frickelpit | darf dein nginx hier hin: /home/app/home/public | 08:20 |
_moep_ | Frickelpit: wie erkenn ich das, ob er das darf oder nicht? | 08:21 |
sash_ | file permissions halt | 08:22 |
Frickelpit | namei könnt das | 08:22 |
sash_ | namei? | 08:23 |
Frickelpit | namei - follow a pathname until a terminal point is found | 08:23 |
Frickelpit | mit -o zeigt der dann owner und group | 08:23 |
sash_ | doev: Du kannst auch nen nginx davorschalten, der auf 443 läuft und dann als reverse proxy die Anfragen an den eigentlichen Service weiterleitet | 08:24 |
sash_ | Oder Apache oder wasweißich | 08:24 |
sash_ | doev: https://confluence.atlassian.com/jirakb/integrating-jira-with-nginx-426115340.html | 08:25 |
le_bot | Title: Integrating JIRA with Nginx - Atlassian Documentation (at confluence.atlassian.com) | 08:25 |
_moep_ | oh ich glaube, das problem hängt woamnders dran | 08:25 |
=== pi1 is now known as slystone | ||
=== pxcask1 is now known as pxcask | ||
doev | hi. Ich wollte java mit Rechten priviliegierte Ports zu öffnen ausstatten. Dazu habe ich diesen Befehl benutzt: sudo setcap 'cap_net_bind_service=+ep' /home/user/jre/bin/java | 14:57 |
doev | leider startet java nicht mehr: /home/user/jre/bin/java -version => error while loading shared libraries: libjli.so: cannot open shared object file: No such file or directory | 14:58 |
doev | hat dazu jemand eine Idee? | 14:59 |
nagetier | doev: Hast du damit evtl. /home/user/jre/bin/java ausschließlich 'cap_net_bind_service=+ep' zugewiesen? | 15:13 |
doev | nagetier, ja | 15:16 |
doev | vorher war aber auch nichts anderes zuggewiesen | 15:16 |
nagetier | und somit anderen Zugriff gesperrt? | 15:16 |
doev | ne, wenn alles wieder gelöscht ist, gehts wieder. | 15:16 |
doev | Allerdings habe ich jetzt gelesen, dass das Programm damit generell als root läuft und es ein Sicherheitsfrisiko darstellt. | 15:17 |
doev | mein zweiter Ansatz war, die Firewall umzubiegen, also 443 -> 8443 | 15:18 |
doev | was erstmal funktioniert. | 15:23 |
=== debitux_ is now known as debitux | ||
=== reichi63 is now known as reichi62 | ||
=== vitus_ is now known as vitus |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!