Linux 上で非ルートプロセスが「特権」ポートにバインドする方法はありますか? 質問する

Question

わかりました。ケイパビリティシステムとケイパビリティを指摘してくれた方々に感謝しますCAP_NET_BIND_SERVICE。最近のカーネルをお持ちであれば、これを使用して非ルートとしてサービスを開始し、低いポートをバインドすることは確かに可能です。簡単に答えると、次のようになります。

setcap 'cap_net_bind_service=+ep' /path/to/program

そして、programその後いつでも実行されると、そのCAP_NET_BIND_SERVICE機能を持つようになります。setcapは Debian パッケージに含まれていますlibcap2-bin。

ここで注意点を述べます。

少なくとも2.6.24カーネルが必要です
ファイルがスクリプトの場合、これは機能しません。(#!つまり、インタープリタを起動する行を使用します) この場合、私の理解する限りでは、インタープリタ実行ファイル自体に機能を適用する必要がありますが、これはもちろん、そのインタープリタを使用するすべてのプログラムに機能があるため、セキュリティ上の悪夢です。この問題を回避するためのクリーンで簡単な方法を見つけることができませんでした。
LD_LIBRARY_PATHLinux は、やprogramなどの昇格された権限を持つを無効にします。そのため、が独自のを使用している場合は、ポート転送などの別のオプションを検討する必要があるかもしれません。setcapsuidprogram.../lib/

リソース：

機能(7) マニュアルページ実稼働環境で機能を使用する場合は、これをじっくりと読んでください。exec() 呼び出し間で機能がどのように継承されるかについては、非常に複雑な詳細がここに詳細に説明されています。
setcap マニュアルページ
「GNU/Linux でルートなしで 1024 未満のポートをバインドする」: 私を最初にに導いた文書setcap。

Answer 1

わかりました。ケイパビリティシステムとケイパビリティを指摘してくれた方々に感謝しますCAP_NET_BIND_SERVICE。最近のカーネルをお持ちであれば、これを使用して非ルートとしてサービスを開始し、低いポートをバインドすることは確かに可能です。簡単に答えると、次のようになります。

setcap 'cap_net_bind_service=+ep' /path/to/program

そして、programその後いつでも実行されると、そのCAP_NET_BIND_SERVICE機能を持つようになります。setcapは Debian パッケージに含まれていますlibcap2-bin。

ここで注意点を述べます。

少なくとも2.6.24カーネルが必要です
ファイルがスクリプトの場合、これは機能しません。(#!つまり、インタープリタを起動する行を使用します) この場合、私の理解する限りでは、インタープリタ実行ファイル自体に機能を適用する必要がありますが、これはもちろん、そのインタープリタを使用するすべてのプログラムに機能があるため、セキュリティ上の悪夢です。この問題を回避するためのクリーンで簡単な方法を見つけることができませんでした。
LD_LIBRARY_PATHLinux は、やprogramなどの昇格された権限を持つを無効にします。そのため、が独自のを使用している場合は、ポート転送などの別のオプションを検討する必要があるかもしれません。setcapsuidprogram.../lib/

リソース：

機能(7) マニュアルページ実稼働環境で機能を使用する場合は、これをじっくりと読んでください。exec() 呼び出し間で機能がどのように継承されるかについては、非常に複雑な詳細がここに詳細に説明されています。
setcap マニュアルページ
「GNU/Linux でルートなしで 1024 未満のポートをバインドする」: 私を最初にに導いた文書setcap。

おすすめ記事