[00:15] <Matze202> naja ich mach mal schluß, vielleicht bis morgen gn8 @all
[07:15] <doev> guten Morgen
[07:15] <doev> Ich würde erwarten, dass bei iostat sich die Werte mit der Zeit ändern. Sollte das nicht so sein?
[07:31] <zeitsofa> tun sie hier auch!
[07:40] <doev> zeitsofa, ich hatte es mit watch benutzt ... und das geht aus irgend einem Grund nicht. iostat 1 -x funktioniert.
[07:42] <doev> anderes Problem:
[07:44] <doev> Ich lasse einen Server mit normalem Benutzer laufen. Der muss aber privilegierte Ports öffnen können. Mit "setcap ..." gebe ich der Anwendung die Rechte ... unabhängig welcher Benutzer sie startet?
[07:45] <Frickelpit> Wieso muss der unterhalb von 1024 Ports öffnen können?
[07:45] <doev> Weil unser BossAdmin den nicht auf dauert über 8443 (https) laufen lassen will.
[07:47] <Frickelpit> Dann konfiguriert den Service so, dass der 443 o.ä. nutzen kann.
[07:47] <doev> wie gesagt, da fehlen dem User die Rechte.
[07:48] <doev> ... und als Service habe ich den noch nicht konfiguriert. .... meinst du das würde darüber besser funktionieren?
[07:49] <Frickelpit> doev: was soll denn da auf den Ports lauschen für ein Dienst?
[07:49] <doev> jira und confluence
[07:49] <doev> also zwei tomcats
[07:51] <Frickelpit> Da sollten aber dann service files vorhanden sein, ansonsten kannste auch selber units erstellen
[07:54] <doev> und über den Service gibts auch Rechte für <1024?
[07:55] <Frickelpit> wenn der service als user root gestartet wird oder mit einem user, der diese Rechte besitzt
[07:57] <doev> wollte es nicht als root laufen lassen, deswegen habe ich als normaler user installiert.
[07:59] <Frickelpit> Ich kenn jetzt die Configs von Jira oder Confluence nicht aber es gibt bestimmt die Möglichkeit, dass beide Services als nciht-root User laufen. Geht ja nur um den Start des Dienstes.
[07:59] <Frickelpit> s/nciht/nicht/
[08:19] <_moep_> moin, ich schraube gerade an nginx und letsencrypt rum: https://pastebin.com/QBSYbP7N
[08:19] <le_bot> Title: [Bash] /etc/nginx/site-available: server { listen *:80; listen [::]:80; - Pastebin.com (at pastebin.com)
[08:20] <_moep_> der certbot kann aber nicht auf das zugreifen und ich bin - jetzt schon - am haare raufen
[08:20] <Frickelpit> darf dein nginx hier hin: /home/app/home/public
[08:21] <_moep_> Frickelpit: wie erkenn ich das, ob er das darf oder nicht?
[08:22] <sash_> file permissions halt
[08:22] <Frickelpit> namei könnt das
[08:23] <sash_> namei?
[08:23] <Frickelpit> namei - follow a pathname until a terminal point is found
[08:23] <Frickelpit> mit -o zeigt der dann owner und group
[08:24] <sash_> doev: Du kannst auch nen nginx davorschalten, der auf 443 läuft und dann als reverse proxy die Anfragen an den eigentlichen Service weiterleitet
[08:24] <sash_> Oder Apache oder wasweißich
[08:25] <sash_> doev: https://confluence.atlassian.com/jirakb/integrating-jira-with-nginx-426115340.html
[08:25] <le_bot> Title: Integrating JIRA with Nginx - Atlassian Documentation (at confluence.atlassian.com)
[08:25] <_moep_> oh ich glaube, das problem hÃ¤ngt woamnders dran
[14:57] <doev> hi. Ich wollte java mit Rechten priviliegierte Ports zu öffnen ausstatten. Dazu habe ich diesen Befehl benutzt: sudo setcap 'cap_net_bind_service=+ep' /home/user/jre/bin/java
[14:58] <doev> leider startet java nicht mehr: /home/user/jre/bin/java -version   => error while loading shared libraries: libjli.so: cannot open shared object file: No such file or directory
[14:59] <doev> hat dazu jemand eine Idee?
[15:13] <nagetier> doev: Hast du damit evtl. /home/user/jre/bin/java ausschließlich 'cap_net_bind_service=+ep' zugewiesen?
[15:16] <doev> nagetier, ja
[15:16] <doev> vorher war aber auch nichts anderes zuggewiesen
[15:16] <nagetier> und somit anderen Zugriff gesperrt?
[15:16] <doev> ne, wenn alles wieder gelöscht ist, gehts wieder.
[15:17] <doev> Allerdings habe ich jetzt gelesen, dass das Programm damit generell als root läuft und es ein Sicherheitsfrisiko darstellt.
[15:18] <doev> mein zweiter Ansatz war, die Firewall umzubiegen, also 443 -> 8443
[15:23] <doev> was erstmal funktioniert.