Saya menyiapkan Node.jsserver pertama saya pada cloud Linux nodedan saya cukup baru untuk rincian Linux admin. (BTW saya tidak mencoba menggunakan Apache pada saat yang bersamaan.)

Semuanya terpasang dengan benar, tetapi saya menemukan bahwa kecuali saya menggunakan root login, saya tidak dapat mendengarkan port 80dengan simpul. Namun saya lebih suka tidak menjalankannya sebagai root untuk alasan keamanan.

Apa praktik terbaik untuk:

1. Tetapkan izin / pengguna yang baik untuk simpul sehingga aman / dikotak pasir?
2. Izinkan port 80 digunakan dalam batasan ini.
3. Mulai simpul dan jalankan secara otomatis.
4. Menangani informasi log yang dikirim ke konsol.
5. Masalah pemeliharaan dan keamanan umum lainnya.

Haruskah saya meneruskan lalu lintas port 80 ke port mendengarkan yang berbeda?

Terima kasih

Port 80

Apa yang saya lakukan pada instance cloud saya adalah saya mengarahkan ulang port 80 ke port 3000 dengan perintah ini:

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3000

Kemudian saya meluncurkan Node.js saya di port 3000. Permintaan ke port 80 akan dipetakan ke port 3000.

Anda juga harus mengedit /etc/rc.localfile Anda dan menambahkan baris itu minus sudo. Itu akan menambah arahan ulang ketika mesin dinyalakan. Anda tidak perlu sudomasuk /etc/rc.localkarena perintah di sana dijalankan seperti rootketika sistem melakukan boot.

Log

Gunakan modul selamanya untuk meluncurkan Node.js Anda dengan. Ini akan memastikan bahwa itu restart jika pernah crash dan itu akan mengarahkan log konsol ke file.

Luncurkan saat Boot

Tambahkan skrip mulai Node.js Anda ke file yang Anda edit untuk pengalihan port /etc/rc.local,. Itu akan menjalankan skrip peluncuran Node.js Anda ketika sistem dimulai.

Digital Ocean & VPS lainnya

Ini tidak hanya berlaku untuk Linode, tetapi juga Digital Ocean, AWS EC2, dan penyedia VPS lainnya. Namun, pada sistem berbasis RedHat /etc/rc.localadalah /ect/rc.d/local.

Berikan Izin Pengguna Aman Untuk Menggunakan Port 80

Ingat, kami TIDAK ingin menjalankan aplikasi Anda sebagai pengguna root, tetapi ada halangan: pengguna aman Anda tidak memiliki izin untuk menggunakan port HTTP default (80). Tujuan Anda adalah untuk dapat menerbitkan situs web yang dapat digunakan pengunjung dengan menavigasi ke URL yang mudah digunakan sepertihttp://ip:port/

Sayangnya, kecuali jika Anda masuk sebagai root, Anda biasanya harus menggunakan URL like http://ip:port- di mana nomor port> 1024.

Banyak orang terjebak di sini, tetapi solusinya mudah. Ada beberapa opsi tapi ini yang saya suka. Ketikkan perintah berikut:

sudo apt-get install libcap2-bin
sudo setcap cap_net_bind_service=+ep `readlink -f \`which node\``

Sekarang, ketika Anda memberi tahu aplikasi Node bahwa Anda ingin dijalankan pada port 80, itu tidak akan mengeluh.

Periksa tautan referensi ini

Jatuhkan hak akses root setelah Anda mengikat ke port 80 (atau 443).

Ini memungkinkan port 80/443 tetap terlindungi, sambil tetap mencegah Anda melayani permintaan sebagai root:

function drop_root() {
    process.setgid('nobody');
    process.setuid('nobody');
}

Contoh kerja lengkap menggunakan fungsi di atas:

var process = require('process');
var http = require('http');
var server = http.createServer(function(req, res) {
    res.write("Success!");
    res.end();
});

server.listen(80, null, null, function() {
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
    drop_root();
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
});

Lihat lebih detail di referensi lengkap ini .

Untuk port 80 (yang merupakan pertanyaan awal), Daniel benar. Baru-baru ini saya pindah ke httpsdan harus beralih dari iptablesproxy nginx ringan yang mengelola sertifikat SSL. Saya menemukan jawaban yang berguna bersama dengan intisari oleh gabrielhpugliese tentang cara menanganinya. Pada dasarnya saya

• Membuat Permintaan Penandatanganan Sertifikat SSL (CSR) melalui OpenSSL

  openssl genrsa 2048 > private-key.pem
  openssl req -new -key private-key.pem -out csr.pem
  

• Mendapat sertifikat aktual dari salah satu tempat ini (kebetulan saya menggunakan Comodo )
• Diinstal nginx

• Mengubah locationdi /etc/nginx/conf.d/example_ssl.confke

  location / {
      proxy_pass http://localhost:3000;
      proxy_set_header X-Real-IP $remote_addr;
  }
  

• Memformat sertifikat untuk nginx dengan catcara menyatukan sertifikat individual dan menautkannya ke dalam example_ssl.conffile nginx saya (dan hal-hal yang tidak di-komentar, menyingkirkan 'contoh' dalam nama, ...)

  ssl_certificate /etc/nginx/ssl/cert_bundle.cert;
  ssl_certificate_key /etc/nginx/ssl/private-key.pem;
  

Semoga itu bisa menyelamatkan orang lain beberapa sakit kepala. Saya yakin ada cara simpul murni untuk melakukan ini, tetapi nginx cepat dan berhasil.