Linux非root用户程序使用小于1024端口
2015-07-20 16:46
671 查看
在Linux下,默认端口1024下的程序是要在root下才能使用的,在其他用户下,如果尝试使用将会报错。在有的时候,我们可能考虑程序运行在root帐户下,可能会给Linux系统带来安全风险。那如何能够让非root用户运行的程序能够对外启用小于1024的端口呢?本文尝试给出一些方法:
第一种方法:SetUID为用户的应用程序在执行位设置user ID能够使程序可以有root权限来运行,这个方法让程序能够像在root下运行有同样的效果,不过需要非常小心,这种方法同样会带来安全风险,特别是当要执行的程序本身存在安全风险。使用的方法是:
第一种方法:SetUID为用户的应用程序在执行位设置user ID能够使程序可以有root权限来运行,这个方法让程序能够像在root下运行有同样的效果,不过需要非常小心,这种方法同样会带来安全风险,特别是当要执行的程序本身存在安全风险。使用的方法是:
chown root.root /path/to/application #使用SetUID chmod u+s /path/to/application我们可以看到在系统下,
/usr/bin/passwd这种文件,就使用了SetUID,使得每个系统的用户都能用
passwd来修改密码――这是要修改
/etc/passwd的文件(而这个只有root有权限)。既然要使用非root用户运行程序,目的就是要降低程序本身给系统带来的安全风险,因此,本方法使用的时候需要特别谨慎。 第二种方法:CAP_NET_BIND_SERVICE从2.1开始,Linux内核有了能力的概念,这使得普通用户也能够做只有超级用户才能完成的工作,这包括使用端口1。获取
CAP_NET_BIND_SERVICE能力,即使服务程序运行在非root帐户下,也能够banding到低端口。使用的方法:
#设置CAP_NET_BIND_SERVICE setcap cap_net_bind_service =+ep /path/to/applicationNote:1. 这个方法并不是所有Linux系统通适,内核在2.1之前的并没有提供,因此你需要检查要使用此方法所在系统是否支持(Linux must support capacity);2. 另外需要注意的是,如果要运行的程序文件是一个脚本,这个方法是没有办法正常工作的(Script won't work)。 第三种方法:Port Forwarding如果要运行的程序有权限监听其他端口,那么这个方法是可以使用的,首先让程序运行在非root帐户下,并绑定高于1024的端口,在确保能正常工作的时候,将低端口通过端口转发,将低端口转到高端口,从而实现非root运行的程序绑定低端口。要使用此方法可以使用下面的方式:
# Enable the IP FORWARD kernel parameter. sysctl -w net.ipv4.ip_forward=1 # Use iptables rules to redirect packets iptables -F -t nat iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to:8088第一步使用
sysctl确保启用IP FORWARD功能(此功能在Red Hat/CentOS默认是被禁用的),注意,代码中使用的
sysctl设置是临时性设置,重启之后将会被重置,如果要长久保存,需要在
/etc/sysctl.conf文件内修改:
# Default value is 0, need change to 1. # net.ipv4.ip_forward = 0 net.ipv4.ip_forward = 1然后从文件中加载新的配置
# load new sysctl.conf sysctl -p /etc/sysctl.conf # or sysctl -p # default filename is /etc/sysctl.conf第二步就是使用
iptables的规则来实现端口转发到程序所在的端口,示例中我们要将80端口转发到8088。此种方法能够比较好的达到我们的目的,我们的程序可以通过非root用户来运行,并能够对外提供低端口号的服务。 第四种方法:RINETD2这种方法使用的也是端口转发,此工具可以将本地端口映射到远程端口,但此功能对于我们当前的功能来说,有点鸡肋,毕竟我们新增了一个额外的程序,这将可能会增加我们系统的风险性。在此不做推荐。 参考说明:1. Linux capabilities文档,参见其中CAP_NET_BIND_SERVIC,文中的内核是否从2.1开始有这个功能并不完全确定,此信息来自网上。2. 官网地址:RINETD
相关文章推荐
- 密钥登陆Linux服务器
- 基于centos的mysql学习补充一
- Linux Screen命令详解
- linux下jdk的安装
- 嵌入式Linux串口输出可疑乱码
- linux SSH rsa认证方式登录需理清的问题
- Linux企业运维高效技巧心得及分享
- linux下面关于makefile使用的笔记。
- Linux上 使用zip命令打包 目录(递归)
- Centos 中如何快速定制二进制的内核 RPM 包
- linux rtp 编程JRTLIB
- Linux 简介
- Linux下java使用Sigar的配置
- Linux real-time signal (实时信号)
- kali linux之窥看女神上网隐私(ettercap+wireshark+zenmap +dsniff)
- kali linux之窥看女神上网隐私(ettercap+wireshark+zenmap +dsniff)
- system/WIFEXITED/WEXITSTATUS函数-linux
- [Linux].vimrc配置
- linux svn cmd
- [转] Centos 6.4 python 2.6 升级到 2.7