Estou configurando meu primeiro Node.jsservidor em um servidor cloud Linux nodee sou bastante novo nos detalhes de Linux admin. (BTW, não estou tentando usar o Apache ao mesmo tempo.)

Tudo está instalado corretamente, mas descobri que, a menos que eu use o root login, não consigo ouvir o port 80nó. No entanto, prefiro não executá-lo como root por motivos de segurança.

Qual é a melhor prática para:

1. Definir boas permissões / usuário para o nó, de modo que ele seja seguro / protegido por sandbox?
2. Permita que a porta 80 seja usada dentro dessas restrições.
3. Inicie o nó e execute-o automaticamente.
4. Manipular informações de log enviadas ao console.
5. Quaisquer outras preocupações gerais de manutenção e segurança.

Devo encaminhar o tráfego da porta 80 para uma porta de escuta diferente?

obrigado

Porta 80

O que faço nas instâncias da nuvem é redirecionar a porta 80 para a porta 3000 com este comando:

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3000

Em seguida, inicio meu Node.js na porta 3000. As solicitações para a porta 80 serão mapeadas para a porta 3000.

Você também deve editar seu /etc/rc.localarquivo e adicionar essa linha menos o sudo. Isso adicionará o redirecionamento quando a máquina inicializar. Você não precisa sudoentrar /etc/rc.localporque os comandos são executados como rootquando o sistema é inicializado.

Histórico

Use o módulo forever para iniciar o seu Node.js. Ele garantirá que seja reiniciado se travar e redirecionará os logs do console para um arquivo.

Iniciar na inicialização

Adicione o script inicial do Node.js. ao arquivo que você editou para o redirecionamento de porta /etc/rc.local,. Isso executará o script de inicialização do Node.js. quando o sistema iniciar.

Oceano digital e outros VPS

Isso não se aplica apenas ao Linode, mas ao Digital Ocean, ao AWS EC2 e a outros provedores de VPS. No entanto, em sistemas baseados em RedHat /etc/rc.localé /ect/rc.d/local.

Conceder permissão de usuário seguro para usar a porta 80

Lembre-se de que NÃO queremos executar seus aplicativos como usuário root, mas há um problema: seu usuário seguro não tem permissão para usar a porta HTTP padrão (80). Seu objetivo é poder publicar um site que os visitantes possam usar navegando para um URL fácil de usar, comohttp://ip:port/

Infelizmente, a menos que você faça login como root, normalmente precisará usar um URL como http://ip:port- em que número da porta> 1024.

Muitas pessoas ficam presas aqui, mas a solução é fácil. Existem algumas opções, mas é essa que eu gosto. Digite os seguintes comandos:

sudo apt-get install libcap2-bin
sudo setcap cap_net_bind_service=+ep `readlink -f \`which node\``

Agora, quando você diz a um aplicativo Node que deseja que ele seja executado na porta 80, ele não irá reclamar.

Verifique este link de referência

Solte os privilégios de root depois de ligar à porta 80 (ou 443).

Isso permite que a porta 80/443 permaneça protegida, enquanto impede que você atenda solicitações como root:

function drop_root() {
    process.setgid('nobody');
    process.setuid('nobody');
}

Um exemplo de trabalho completo usando a função acima:

var process = require('process');
var http = require('http');
var server = http.createServer(function(req, res) {
    res.write("Success!");
    res.end();
});

server.listen(80, null, null, function() {
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
    drop_root();
    console.log('User ID:',process.getuid()+', Group ID:',process.getgid());
});

Veja mais detalhes nesta referência completa .

Para a porta 80 (que era a pergunta original), Daniel está exatamente certo. Recentemente, mudei para httpse tive que mudar iptablespara um proxy nginx leve que gerenciava os certificados SSL. Encontrei uma resposta útil, juntamente com uma essência de gabrielhpugliese sobre como lidar com isso. Basicamente eu

• Criou uma solicitação de assinatura de certificado SSL (CSR) via OpenSSL

  openssl genrsa 2048 > private-key.pem
  openssl req -new -key private-key.pem -out csr.pem

• Obtive o certificado real de um desses lugares (usei o Comodo )
• Nginx instalado

• Mudou o locationem /etc/nginx/conf.d/example_ssl.confque

  location / {
      proxy_pass http://localhost:3000;
      proxy_set_header X-Real-IP $remote_addr;
  }

• Formatei o certificado para o nginx catjuntando os certificados individuais e vinculando -o no meu example_ssl.confarquivo nginx (e coisas não comentadas, livramos-nos do 'exemplo' no nome, ...)

  ssl_certificate /etc/nginx/ssl/cert_bundle.cert;
  ssl_certificate_key /etc/nginx/ssl/private-key.pem;

Espero que isso possa salvar outras pessoas de dores de cabeça. Tenho certeza de que existe uma maneira de fazer nó puro, mas o nginx foi rápido e funcionou.