UDN-企业互联网技术人气社区

板块导航

浏览  : 1198
回复  : 0

[运维] 如何让 Linux 下非 root 用户程序使用小于 1024 端口

[复制链接]
哥屋恩的头像 楼主
发表于 2016-10-22 19:35:22 | 显示全部楼层 |阅读模式
  在 Linux 下,默认情况下1024 以下的端口是要在 root 下才能使用的,在其他用户下,如果尝试使用将会报错。在有的时候,我们可能考虑程序运行在 root 帐户下,但这可能会给 Linux 系统带来安全风险。那如何能够让非 root 用户运行的程序能够对外启用小于 1024 的端口呢?

  本文尝试给出一些方法:

c.jpg

  (题图来自: wordpress.com)

  第一种方法:SetUID

  给用户的应用程序在执行位设置用户 ID 能够使程序可以以 root 权限来运行,这个方法让程序能够像在 root 下运行一样,不过需要非常小心,这种方法同样会带来安全风险,特别是当要执行的程序本身存在安全风险时。

  使用的方法是:

  1.   chown root.root /path/to/application

  2.   #使用SetUID

  3.   chmod u+s /path/to/application
复制代码


  我们可以看到在系统下,/usr/bin/passwd这种文件,就使用了SetUID,使得每个系统能的用户都能用passwd来修改密码——这是要修改/etc/passwd的文件(而这个只有root有权限)。

  既然要使用非root用户运行程序,目的就是要降低程序本身给系统带来的安全风险,因此,本方法使用的时候需要特别谨慎。

  第二种方法:CAP_NET_BIND_SERVICE

  从 2.1 版本开始,Linux 内核有了能力的概念,这使得普通用户也能够做只有超级用户才能完成的工作,这包括使用端口。

  获取CAP_NET_BIND_SERVICE能力,即使服务程序运行在非root帐户下,也能够banding到低端口。使用的方法:

 
  1.  # 设置CAP_NET_BIND_SERVICE

  2.   setcap cap_net_bind_service =+ep /path/to/application
复制代码


  Note:

  1. 这个方法并不是所有Linux系统通适,内核在2.1之前的并没有提供,因此你需要检查要使用此方法所在系统是否支持;

  2. 另外需要注意的是,如果要运行的程序文件是一个脚本,这个方法是没有办法正常工作的。

  第三种方法:Port Forwarding

  如果要运行的程序有权限监听其他端口,那么这个方法是可以使用的,首先让程序运行在非root帐户下,并绑定高于1024的端口,在确保能正常工作的时候,将低端口通过端口转发,将低端口转到高端口,从而实现非root运行的程序绑定低端口。要使用此方法可以使用下面的方式:

  1.   # Enable the IP FORWARD kernel parameter.

  2.   sysctl -w net.ipv4.ip_forward=1

  3.   # Use iptables rules to redirect packets

  4.   iptables -F -t nat

  5.   iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to:8088
复制代码


  第一步使用sysctl确保启用IP FORWARD功能(此功能在Red Hat/CentOS默认是被禁用的),注意,代码中使用的sysctl设置是临时性设置,重启之后将会被重置,如果要长久保存,需要在/etc/sysctl.conf文件内修改:

 
  1.  # Default value is 0, need change to 1.

  2.   # net.ipv4.ip_forward = 0

  3.   net.ipv4.ip_forward = 1
复制代码


  然后从文件中加载新的配置

 
  1.  # load new sysctl.conf

  2.   sysctl -p /etc/sysctl.conf

  3.   # or sysctl -p

  4.   # default filename is /etc/sysctl.conf
复制代码


  第二步就是使用iptables的规则来实现端口转发到程序所在的端口,示例中我们要将80端口转发到8088。

  此种方法能够比较好的达到我们的目的,我们的程序可以通过非root用户来运行,并能够对外提供低端口号的服务。

  第四种方式:RINETD

  这种方法使用的也是端口转发,此工具可以将本地端口映射到远程端口,但此功能对于我们当前的功能来说,有点鸡肋,毕竟我们新增了一个额外的程序,这将可能会增加我们系统的风险性。在此不做推荐。

原文作者:佚名  来源:开发者头条

相关帖子

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部