标签：linux iptables root ipv6 linux-capabilities

在我的开发盒上有这个限制是非常烦人的,因为除了我之外不会有任何用户.

我知道the standard workarounds,但它们都没有完全符合我的要求：

> authbind(Debian测试中的版本,1.0,仅支持IPv4)
> Using the iptables REDIRECT target to redirect a low port to a high port(“nat”表尚未实现ip6tables,iptables的IPv6版本)
> sudo(以root身份运行是我要避免的)
> SELinux(或类似). (这只是我的开发盒,我不想引入很多额外的复杂性.)

是否有一些简单的sysctl变量允许非root进程绑定到Linux上的“特权”端口(端口小于1024),或者我只是运气不好？

编辑：在某些情况下,你可以use capabilities这样做.

解决方法:

好的,感谢那些指出功能系统和CAP_NET_BIND_SERVICE功能的人.如果您有最新的内核,确实可以使用它来启动非root用户服务但绑定低端口.简短的回答是你这样做：

setcap 'cap_net_bind_service=+ep' /path/to/program

然后在任何时候执行程序之后它将具有CAP_NET_BIND_SERVICE功能. setcap是在debian包libcap2-bin中.

现在注意事项：

>您至少需要2.6.24内核
>如果您的文件是脚本,这将不起作用. (即,使用#！行启动解释器).在这种情况下,据我所知,您必须将该功能应用于解释器可执行文件本身,这当然是一个安全噩梦,因为使用该解释器的任何程序都具有该功能.我无法找到任何干净,简单的方法来解决这个问题.
> Linux将在任何具有提升权限(如setcap或suid)的程序上禁用LD_LIBRARY_PATH.因此,如果您的程序使用自己的… / lib /,您可能需要查看另一个选项,如端口转发.

资源：

> capabilities(7) man page.如果要在生产环境中使用功能,请仔细阅读.关于如何通过exec()调用继承功能有一些非常棘手的细节.
> setcap man page
> “Bind ports below 1024 without root on GNU/Linux”：首先向我指出setcap的文件.

注意：RHEL first added this in v6.

标签：linux,iptables,root,ipv6,linux-capabilities
来源： https://codeday.me/bug/20190911/1803427.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。