非root用户使用1024以下端口(Linux的Capabilities)

最新推荐文章于 2024-05-09 19:32:30 发布
最新推荐文章于 2024-05-09 19:32:30 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: Shell Linux 文章标签: linux shell 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39329427/article/details/115866130
版权

非root用户使用1024以下端口

一、问题背景

  曾经的一个项目中用到需要Modbus TCP协议的502端口,但是我们使用的时候是非root用户,没有权限访问1024以下的端口。最简单的方法是将通讯的端口自定义为大于502的端口,但凑巧的是对方没有将自定义端口的功能调出来(就是懒的),就只能通过修改用户权限达到访问1024以下端口的目的。

二、解决方法

1.进入root用户

在命令终端中输入 su root

[test@localhost~]$ su root
密码:
[root@localhost test]#

2.分配用户权限

可以进入需要访问1024以内端口的程序所在的文件夹,输入以下指令,输入后该文件就可以调用1024以内端口了。

/*filename为可执行程序的文件名,path为文件路径*/
[root@localhost test]# setcap ‘cap_net_bind_service=+eip’ /path/filename

总结

  通过这次问题的解决,了解到了Linux Capabilities,在此记录一下防止下次出现类似的问题。

1、Capabilities介绍

  Capabilities是从 Linux2.2 内核之后开始引入的,旨在打破了系统中超级用户与普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作。
  Capabilites 作为线程(Linux 并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。
  在执行特权操作时,如果线程的有效身份不是 root,就去检查其是否具有该特权操作所对应的 capabilities,并以此为依据,决定是否可以执行特权操作。Capabilities 可以在进程执行时赋予,也可以直接从父进程继承。

2、Capabilities其他功能名称

capability 名称capability 描述
CAP_AUDIT_CONTROL启用和禁用内核审计;改变审计过滤规则;检索审计状态和过滤规则
CAP_AUDIT_READ允许通过 multicast netlink 套接字读取审计日志
CAP_AUDIT_WRITE将记录写入内核审计日志
CAP_BLOCK_SUSPEND使用可以阻止系统挂起的特性
CAP_CHOWN修改文件所有者的权限
CAP_DAC_OVERRIDE忽略文件的 DAC 访问限制
CAP_DAC_READ_SEARCH忽略文件读及目录搜索的 DAC 访问限制
CAP_FOWNER忽略文件属主 ID 必须和进程用户 ID 相匹配的限制
CAP_FSETID允许设置文件的 setuid 位
CAP_IPC_LOCK允许锁定共享内存片段
CAP_IPC_OWNER忽略 IPC 所有权检查
CAP_KILL允许对不属于自己的进程发送信号
CAP_LEASE允许修改文件锁的 FL_LEASE 标志
CAP_LINUX_IMMUTABLE允许修改文件的 IMMUTABLE 和 APPEND 属性标志
CAP_MAC_ADMIN允许 MAC 配置或状态更改
CAP_MAC_OVERRIDE忽略文件的 DAC 访问限制
CAP_MKNOD允许使用 mknod() 系统调用
CAP_NET_ADMIN允许执行网络管理任务
CAP_NET_BIND_SERVICE允许绑定到小于 1024 的端口
CAP_NET_BROADCAST允许网络广播和多播访问
CAP_NET_RAW允许使用原始套接字
CAP_SETGID允许改变进程的 GID
CAP_SETFCAP允许为文件设置任意的 capabilities
CAP_SETPCAP参考 capabilities man page
CAP_SETUID允许改变进程的 UID
CAP_SYS_ADMIN允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等
CAP_SYS_BOOT允许重新启动系统
CAP_SYS_CHROOT允许使用 chroot() 系统调用
CAP_SYS_MODULE允许插入和删除内核模块
CAP_SYS_NICE允许提升优先级及设置其他进程的优先级
CAP_SYS_PACCT允许执行进程的 BSD 式审计
CAP_SYS_PTRACE允许跟踪任何进程
CAP_SYS_RAWIO允许直接访问 /devport、/dev/mem、/dev/kmem 及原始块设备
CAP_SYS_RESOURCE忽略资源限制
CAP_SYS_TIME允许改变系统时钟
CAP_SYS_TTY_CONFIG允许配置 TTY 设备
CAP_SYSLOG允许使用 syslog() 系统调用
CAP_WAKE_ALARM允许触发一些能唤醒系统的东西(比如 CLOCK_BOOTTIME_ALARM 计时器)

3、Capabilities的使用方法

  getcap 命令和 setcap 命令分别用来查看和设置程序文件的 capabilities 属性。
  在执行特权操作时,如果线程的有效身份不是 root,就去检查其是否具有该特权操作所对应的 capabilities,并以此为依据,决定是否可以执行特权操作。Capabilities 可以在进程执行时赋予,也可以直接从父进程继承。

/*setcap设置文件capabilities属性*/
[root@localhost test]# setcap ‘cap_net_bind_service=+eip’ /path/filename
/*setcap撤销文件capabilities属性*/
[root@localhost test]# setcap 'cap_net_bind_service=-ep' /path/to/program
/*getcap查看文件capabilities属性*/
[root@localhost test]# getcap /path/to/program

手册资料链接:https://wiki.archlinux.org/index.php/Capabilities_(简体中文)

Conrad_Feng
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
为什么服务器端口都是1024到25535之间?
Li03
03-10 3005
因为所有小于1024端口号都被通用的知名端口占用了,已经有了通用定义,例如,telnet使用端口23,http使用80,ftp使用21,等等。 通常分配的端口号都大于5000。 注意6000端口号也被占用了,这是比较特殊的端口。 常用的被占用端口: Service Port Number Service Description echo 7 UDP/TCP s...
Linuxroot用户运行的程序赋予监听1024以下端口的权限
zs5218的博客
11-13 1653
Linux系统root用户端口开放
nginxroot用户使用1024以下端口
xiaoma19961101的博客
11-23 3907
nginxroot用户使用1024以下端口 nginx应用需要使用80和443端口,但是root用户,nginx -t 检查文件是会报错: [majd@majd nginx]$ /home/majd/nginx/sbin/nginx -t nginx: the configuration file /home/majd/nginx/conf/nginx.conf syntax is ok nginx: [emerg] bind() to 0.0.0.0:443 failed (13: Permissio
ubuntu24.04允许用户使用1024以下端口
最新发布
weixin_45379185的博客
05-09 164
在/etc/sysctl.conf文件中输入末尾追加net.ipv4.ip_unprivileged_port_start=0即可。
root用户使用1024以下端口
weixin_33739523的博客
06-25 696
如果你有一个最新的内核,确实有可能使用它作为root用户启动服务,但绑定低端口。最简单有效的办法是: #setcap 'cap_net_bind_service=+ep' /path/to/program 执行了该命令后,该文件程序将会具有CAP_NET_BIND_SERVICE功能,setcap在debian软件包libcap2-bin中,至于具体的功能感兴趣可以自...
如何使用Root用户启动Apache 80和1024以下端口
sui102的专栏
09-30 556
检查apache_error.log日志文件,发现有以下内容报错:ls: /home/xxxx/output/jk.shm*: 没有那个文件或目录(13)Permission denied: make_sock: could not bind to address [::]:80no listening sockets available, shutting downUnable to open ...
root用户如何使用1024以下端口
huiy的专栏
10-19 1076
目前网上主要有如下解决方法: 1.利用防火墙做端口映射 2.改变目录文件权限 3.修改系统内核,重新编译 我个人觉得最省力的就是第1种,推荐使用,已经测试通过: sudo iptables -t nat -A PREROUTING -p udp -d 192.168.6.162 --dport 514 -j REDIRECT --to-port 5140 解释如下: ...
Linux下的Capabilities安全机制分析.pdf
09-07
Capabilities使用通常涉及以下几个方面: 1. 程序启动时:通过设置可执行文件的capabilities,使得程序在执行时具有特定的权限。 2. 运行时动态调整:进程可以通过系统调用如setcap、prctl等来增加、删除或查询其...
user_kill.rar_Linux kill_ROOT
09-19
对于root用户,如果他们想要杀死不属于自己的进程,一般需要满足以下条件之一: 1. **所属用户组**:进程的所有者已经将该进程的属组设置为一个特定的组,而这个组的其他成员被允许杀死进程。这可以通过`setgid`...
Linux系统下Capabilities机制的改进与完善.pdf
09-06
Capabilities机制是Linux操作系统对特权操作进行访问控制的一种安全机制,它允许用户根据实际的安全需要来控制进程拥有的特权范围,从而取消进程的多余特权,避免多余特权带来的安全隐患。 Capabilities机制的改进...
Linux下的Capabilities安全机制的分析与完善.pdf
09-07
Linux下的Capabilities安全机制是一种分割超级用户(root)权限的访问控制模型,旨在解决传统基于用户身份鉴别(DAC)的自主访问控制以及setuid机制所带来的安全隐患。在DAC中,系统资源的访问控制依赖于用户身份,而...
bbp-capabilities:bbPress的高级用户功能编辑
05-09
**bbp-capabilities: bbPress的高级用户功能编辑** bbPress是一款开源的WordPress论坛插件,它为用户提供了一个简洁、高效的论坛解决方案。bbPress的"bbp-capabilities"功能是其核心组件之一,允许管理员对用户角色...
解决Root用户不能绑定1024以下端口[emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)
wangwenzhe的博客
03-21 325
直接使用命令:setcap cap_net_bind_service=+ep。示例:让nginx可以让root用户启动
如何让root用户启用小于1024号的端口
独行者的专栏
11-02 2109
iptables命令:iptables -t nat -A PREROUTING -p tcp ——dport 低端口 -i eth0 -j REDIRECT ——to-port 原先监听的高端口
ubuntu启用root:如何让root用户启用小于1024号的端口
weixin_34226182的博客
02-10 444
ubuntu启用root:如何让root用户启用小于1024号的端口默认情况下Linux1024以下端口是只有root用户才有权限占用,我们的tomcat,apache,nginx等等程序如果想要用普 通用户来占用80端口的话就会抛出java.net.BindException: Permission denied:80的异常。 www.2cto.com 解决办法有...
你有普通用户使用特权端口 (1024 以下) 的需求吗,或许这篇文章能帮你彻底解决!...
easylife206的专栏
10-21 2478
众所周知,在 Linux 系统下,只允许 Root 用户运行的程序才可以使用特权端口 ( 1024 以下端口 )。如果在普通用户使用特权端口将会报错。在一些特定的环境...
linux普通用户使用1024以下端口(80)
建伟博客
05-07 10000
linux对于root权限用户不能使用1024以下端口,对于一些服务,过高的权限,会带来一定的风险。那么对于低权限的用户如何对外开放1024以下端口。我这里找到几种办法并且亲测可行首先搭建环境centos7 账户tengine没有sudo 权限1.nginx 等软件做反向代理反向代理不说了。网上以查到2.iptables端口转发首先程序绑定1024以上的端口,然后root权限下做转发注意有......
linux】普通用户使用小于1024端口
H2K1R~ACE
09-01 1227
linux】普通用户使用小于1024端口
Ubuntu 80端口无法使用-root用户无法使用1024以下端口
zolty
03-31 4949
遇到问题:使用80端口失败,查询80端口占用,显示未占用。 可能的原因:当前用于未root用户,故ubuntu下无法使用1024以下端口。(1023不可,1024可以) 解决方案: 1.映射到端口 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 2.修改权限 1.sudo vim...
capabilities linux
06-08
Linux 操作系统中,capabilities 是一种精细的权限管理机制,它允许应用程序仅获得所需的最小权限,而不是以 root 用户的身份运行整个应用程序。这种权限管理机制可以提高系统的安全性和可靠性。 在 Linux 中,capabilities 可以通过两种方式来实现:一种是使用 POSIX capabilities,另一种是使用 Linux capabilities。两种方法的具体实现略有不同,但都可以实现类似的权限管理功能。 使用 capabilities 可以将一些特权操作的权限分离开来,例如挂载文件系统、更改时间戳、执行系统调用等等。这样可以提高系统的安全性,避免应用程序在运行过程中误操作导致系统崩溃或数据丢失等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Conrad_Feng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值