Genel Bakış

Güncel bir çekirdeğiniz varsa, hizmetleri başlatmak için kök olmayan bir kullanıcı olarak kullanmak, ancak düşük bağlantı noktalarını bağlamak gerçekten mümkündür. En basit ve en etkili yol şudur:

# setcap'cap_net_bind_service = + ep '/ yol / / program

Bu komutu çalıştırdıktan sonra, dosya programı CAP_NET_BIND_SERVICE işlevine sahip olacaktır.Setcap, libcap2-bin debian paketindedir.Özel işlevlere gelince, ona kendiniz başvurabilirsiniz.

Not:

1. Çekirdek sürümü en az 2.6.24'tür

2. Dosya bir komut dosyası olamaz. Başka bir deyişle, CAP_NET_BIND_SERVICE işlevi, komut dosyasında belirtilen diğer uygulamalara değil, yürütülebilir dosyanın kendisine uygulanmalıdır. Dosyaya CAP_NET_BIND_SERVICE yeteneği verilirse, bu dosyanın başka uygulamalar tarafından kötüye kullanılması güvenlik risklerine neden olabilir.

3. Program kendi paylaşılan kitaplığını ... / lib / kullanıyorsa ve Linux, setcap veya suid gibi yükseltilmiş ayrıcalıklara sahip herhangi bir programda LD_LIBRARY_PATH'yi devre dışı bırakırsa, kullanılamaz olmasına neden olur.

Uygulamalar:

nginx yapılandırma dosyası, 80 numaralı bağlantı noktasında dinleme

Nginx hizmetini doğrudan kök olmayan kullanıcının altında başlatın ve başlatılamayacağını görün. Root olmayan kullanıcıların 80 numaralı bağlantı noktasını kullanma hakkına sahip olmadıklarını sor.

Setcap kullanın

Komutu kök kullanıcı altında yürütün:

#setcap cap_net_bind_service = + eip

Nginx hizmetini yeniden başlatın:

Not: Kullanmıyorsanız, aşağıdaki komutu kullanmanız yeterlidir:

#setcap -r dosya adı

Bunu incelemenin nedeni, güvenlik düzeltmesi sırasında nginx'in root ile başlatılamamasıdır.Yapılandırmayı değiştirirken, Linux'un root olmayan kullanıcıların 1024'ün altındaki portları kullanmasını kısıtladığını keşfettim. Bu yüzden bugün bir çözüm yayınlayacağım.

Devops ve DBA hakkında daha fazlasını daha sonra paylaşacağım ve ilgilenen arkadaşlar buna dikkat edebilir ~

Evlilik 200 milyona mal oldu ve şimdi kocamın filme alacak hiçbir şeyi yok, bebek otoriter itirafı: onu büyütmem önemli değil!

DevOps sorun giderme temelleri: DevOps sorun giderme-en iyi Linux sunucu çalıştırma ve bakım uygulamaları

Xi'an Orta Halk Mahkemesi 28 yıl önceki cinayet davasını geri aldı

İPhone'da oynanış basit olsa da büyüleyici!

Güçlü izleyiciler! Luo Yonghao, Xiaominin Shenzhendeki evinde göründü, netizenler alay etti: Lei Jun yokken araştırmaya gelin

Çin'de Daha İyi Bir Yaşam Fırsatı-COSCO Hengxin'in 2. Endüstriyel Yatırım Zirvesi pazar odağını çekiyor

As vs As: Jia Ling hayalini gerçekleştirdi ve Jerry Yan'ı kucakladı, ancak geri döndükten sonra bu hareket hararetli tartışmalara neden oldu

Yeni Audi A8 piyasada ancak tamamen alüminyum gövdenin bir "çukur" olduğunu ima ediyor?

Apple tarafından hazırlanan sürpriz mi? Yeni iPhone güzel bir gümüş aynaya sahip olacak!

Arkadaş olmayın! Hammer Technology CEO'su Luo Yonghao, Xiaomi'nin evinde göründü ve ürün mağazası çevrimiçi mi?

Wang Sicong çok parayla "ördek" satın aldıktan sonra, "hayvanat bahçesi" ne 200.000 yeni favori ekledi.

Linux'un sabit bağlantısını ve yazılım bağlantısını ayrıntılı olarak açıklayın | vaka açıklaması