setcap CAP_NET_BIND_SERVICE非root用户运行程序监听低于 1024 的端口

最新推荐文章于 2024-06-05 16:56:06 发布
最新推荐文章于 2024-06-05 16:56:06 发布
阅读量4.7k 收藏 2
点赞数 1
文章标签: linux 服务器 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/123268033
版权

今天我学到了一些新的东西,我想和你分享。我知道监听低于 1024 的端口需要特殊权限,要做到这一点,你必须是sudoers。但是使用 sudo 运行应用程序并不是一种完美的方式,因为这样应用程序几乎可以对您的操作系统执行任何操作,从而导致意外结果(您肯定不希望应用程序通过rm -rf删除所有文件)。

想象一下,你编写了一个 Golang http 服务器,并希望它监听 80 端口。要授予此权限,你可以在 unix/linux 系统上使用setcap命令

sudo setcap cap_net_bind_service=+ep /your/executable/file/path

这样你就只给了你的可执行文件一个特权,仅此而已,确保不会发生危险的事情。

cap_net_bind_service

是您可以使用的众多功能之一。要查看其他功能类型:

man capabilities

而已 :)

allway2
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux普通用户使用1024以下的端口(80)
建伟博客
05-07 1万+
linux对于root权限用户不能使用1024以下的端口,对于一些服务,过高的权限,会带来一定的风险。那么对于低权限的用户如何对外开放1024以下的端口。我这里找到几种办法并且亲测可行首先搭建环境centos7 账户tengine没有sudo 权限1.nginx 等软件做反向代理反向代理不说了。网上以查到2.iptables端口转发首先程序绑定1024以上的端口,然后root权限下做转发注意有......
linux 允许 root 用户使用 1024 以下端口
Helphi的博客
04-24 2753
linux 允许 root 用户默认只能使用 1024 以上端口,sysctl 指令可以修改该起始端口。 #允许root用户使用所有端口 sudo sysctl net.ipv4.ip_unprivileged_port_start=0 ...
两个很有用的系统命令getcap和setcap
最新发布
文石_2009的博客
06-05 522
获取权限
setcap详解及常遇到的提权失败定位
02-13
setcap详解及常遇到的提权失败定位,内核能力问题:关于提权给root用户失败的案例小结
应用程序监听1024以下端口号方法
weixin_43050332的博客
04-20 2988
我们自己编写的应用程序监听服务端端口号。普通用户只能访问1024以上端口; 当需要使用1024及以下的端口号时,需要应用程序获取root用户权限,操作方法如下(假设我们编写的应用程序名称为 myproc): chown root:root myproc chmod u+s myproc 经过以上操作,myproc就获取到了root用户权限,这样就可以使用1024以下的端口。有时也需要修改搜索动态...
android 端口小于1024,如何让root用户启用小于1024号的端口
weixin_30524205的博客
05-29 784
方法一:端口映射1、iptables命令:iptables -t nat -A PREROUTING -p tcp --dport -i eth0 -j REDIRECT --to-port2、rinetd程序3、ipchans命令:ipchans -I input --proto TCP --dport -j REDIRECT方法二:改程序的sid修改程序的权限,例如chmod 7755 ....
setcap用法
热门推荐
左撇子帕布
03-09 1万+
转载自:https://feichashao.com/capabilities_basic/ 1.背景 安装 Wireshark 的时候,有一步是给 dumpcap 读网卡的权限,使得普通用户也可以使用 Wireshark 进行抓包。 # setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/sbin/dumpcap ...
bindService的理解
weixin_33721344的博客
03-02 201
bindservice Eg:service 和Activity的绑定*定义Service,重写onBind()方法,注:返回值不为null,该返回值类型是IBInder,*在其他组件中,调用bindService()绑定到Service, //todo 转载于:https://www.cnblogs.com/gentspy/p/5235345.html...
如何让Linuxroot用户程序使用小于1024端口
01-09
那如何能够让 root 用户运行程序能够对外启用小于1024端口呢?  本文尝试给出一些方法:  (题图来自: wordpress.com)  第一种方法:SetUID  给用户的应用程序在执行位设置用户 ID 能够使程序...
multi_test.rar_多线程 MFC_多线程 扫描_多线程程序_端口扫描程序
09-14
端口扫描是网络诊断和安全检查的一种常见方法,通过尝试连接目标主机的多个端口来判断哪些服务正在运行。在多线程环境中,每个线程可以独立扫描不同的端口,从而大大提高扫描速度。实现时,你可以利用SOCKET API,如...
MongoDB 3.6版本中bind_ip设置详解
09-09
MongoDB 3.6版本在安全性能方面做出了显著改进,特别是对于服务器监听IP地址的管理。在旧版本中,MongoDB服务启动后,默认会允许任何服务器IP直接登录,但在3.6版本中,这一行为发生了变化。MongoDB 3.6将`bind_ip`...
rvas:房车自动化
03-06
瓦斯 房车自动化 房车自动化项目 此刻只是一个骨架 硬件 覆盆子pi零 esp8266用于传感器 安装 树莓派 安装mariadb-server安装nodejs 使用init_db中的脚本创建数据库 然后执行 sudo节点index.js 80 2 您可以使用以下命令删除对sudo的使用 sudo usermod -a -G gpio sudo apt-get install libcap2-bin sudo setcap cap_net_bind_service=+ep ` readlink -f \` which node \` ` 查看输出 watch -n 0.2 " gpio readall " esp8266 编译并上传样本 样品进入覆盆子后,将其发送到覆盆子,然后进入深度睡眠状态30秒钟,然后将其唤醒并再次发送 深度睡眠中的Esp8266使用可能的最低功耗 在深度睡眠
Tomcat Cannot assign requested address: JVM_Bind 端口占用冲突
08-31
主要介绍了 Tomcat Cannot assign requested address: JVM_Bind 端口占用冲突的相关资料,需要的朋友可以参考下
fvwm.tar.gz_The Bind_fvwm
09-19
my fvwm config, it is very simple, everything is bind to keyboard shortcut, the UI is the most simple one, the the CLI softwares were recommended.
linux setcap指令,linux setcap/getcap
weixin_29941275的博客
05-12 1297
Linux是一种安全操做系统,它给普通用户尽量低的权限,而把所有的系统权限赋予一个单一的账户--rootroot账户用来管理系统、安装软件、管理账户、运行某些服务、安装/卸载文件系统、管理用户、安装软件等。另外,普通用户的不少操做也须要root权限,这经过setuid实现。api这种依赖单一账户执行特权操做的方式加大了系统的面临风险,而须要root权限的程序可能只是为了一个单一的操做,例如:绑定...
[转载] Linuxcapability深入分析
a172742451的专栏
04-21 2716
[转载] Linuxcapability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
linux setcap命令详解(包括各个cap的使用举例)
xdy762024688的博客
08-11 2011
1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作.Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作。
Linux: setcap/getcap, capability
mzhan017的博客
05-26 1650
设置文件的能力(capabilities);如果不带 -v参数,就是设置文件的能力,添加/删除;-v参数,可以查看文件当前已有的能力;
cap_net_bind_service
05-31
`cap_net_bind_service` 是一个 Linux 内核的安全功能,它允许特权用户绑定低于1024端口。这个功能通常被网络服务器程序使用,以便它们可以监听 TCP/IP 端口,而无需以 root 用户身份运行。在启用了 `cap_net_bind_service` 的情况下,服务器程序可以在绑定端口之后,放弃 root 权限,降低了攻击者利用系统漏洞的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值