有没有办法让非root进程绑定到Linux上的“特权”端口？

在我的开发盒上有这个限制是非常烦人的,因为除了我之外不会有任何用户.

我知道the standard workarounds,但它们都没有完全符合我的要求：

> authbind(Debian测试中的版本,1.0,仅支持IPv4)
> Using the iptables REDIRECT target to redirect a low port to a high port(“nat”表尚未实现ip6tables,iptables的IPv6版本)
> sudo(以root身份运行是我要避免的)
> SELinux(或类似). (这只是我的开发盒,我不想引入很多额外的复杂性.)

是否有一些简单的sysctl变量允许非root进程绑定到Linux上的“特权”端口(端口小于1024),或者我只是运气不好？

编辑：在某些情况下,你可以use capabilities这样做.

解决方法:

好的,感谢那些指出功能系统和CAP_NET_BIND_SERVICE功能的人.如果您有最新的内核,确实可以使用它来启动非root用户服务但绑定低端口.简短的回答是你这样做：

setcap 'cap_net_bind_service=+ep' /path/to/program

然后在任何时候执行程序之后它将具有CAP_NET_BIND_SERVICE功能. setcap是在debian包libcap2-bin中.

现在注意事项：

>您至少需要2.6.24内核
>如果您的文件是脚本,这将不起作用. (即,使用#！行启动解释器).在这种情况下,据我所知,您必须将该功能应用于解释器可执行文件本身,这当然是一个安全噩梦,因为使用该解释器的任何程序都具有该功能.我无法找到任何干净,简单的方法来解决这个问题.
> Linux将在任何具有提升权限(如setcap或suid)的程序上禁用LD_LIBRARY_PATH.因此,如果您的程序使用自己的… / lib /,您可能需要查看另一个选项,如端口转发.

资源：

> capabilities(7) man page.如果要在生产环境中使用功能,请仔细阅读.关于如何通过exec()调用继承功能有一些非常棘手的细节.
> setcap man page
> “Bind ports below 1024 without root on GNU/Linux”：首先向我指出setcap的文件.

注意：RHEL first added this in v6.

标签：linux,iptables,root,ipv6,linux-capabilities
来源： https://codeday.me/bug/20190911/1803427.html