在Linux上,非root进程是否有办法绑定到“特权”端口?
对于我的开发环境,有这种限制非常烦人,因为除了我以外永远不会有其他用户。 我知道标准解决方法,但它们都不能完全满足我的需求: Authbind(Debian testing中的版本1.0仅支持IPv4) 使用iptables REDIRECT目标将低端口重定向到高端口("nat"表尚未在...
能否针对每个用户配置 Linux 的能力?
Linux内核似乎支持细粒度能力,允许授予进程权限执行某些操作,例如打开原始套接字或提高线程优先级,而无需授予该进程root特权。 但是我想知道是否有办法授予每个用户独立的能力,即让非root和非suid进程获取这些能力。
如何找出一个进程所需的Linux能力?
我处于一个困难的境地,不知道一个进程需要什么Linux能力来工作。 有什么最好的方法,或者任何方法,可以找出所需的能力是什么? 我现在唯一能想到的办法就是使用capsh并去除进程的所有能力。然后进程失败,我开始添加能力(通过移除--drop=CAP_XZY),直到它能正常工作。 有更好的...
Linux的capabilities(setcap)似乎会禁用LD_LIBRARY_PATH。
我使用LD_LIBRARY_PATH为应用程序设置某个用户库的路径。但是如果我在这个应用程序上设置了权限(capabilities)。sudo setcap CAP_NET_BIND_SERVICE=eip myapplication 那么LD_LIBRARY_PATH似乎被忽略了。当我启动程...
如何在Android系统上获取libcap(Linux能力库)?
Linux功能(libcap.so)库是否可用于Android?如果不行,该如何编译? 我想使用与NDK一起提供的sys/capabilities.h中包含的与功能相关的API。但是当我尝试调用像cap_get_proc()这样的函数时,会出现“未定义的引用”错误。
Docker的更新版本有--cap-add选项,可以添加哪些CAP权限?
较新版本的Docker(我认为是1.2及以上)具有--cap-add功能。 这提供了细粒度的功能控制,而不需要使用--privileged=true打开所有功能。 我已经搜索过了,但找不到功能清单以及它们的含义。有人可以帮忙吗?
如何给正在运行的Docker容器添加功能?
在容器启动后添加功能(例如:NET_ADMIN)是否有可能? 几天前我启动了一个容器,其中的一个服务被运行在其他服务器上的多个进程所使用。我需要为其添加一个回环接口,但不幸的是,我忘记使用 --cap-add=NET_ADMIN 启动容器,因此现在无法添加该接口。 我正在寻找一种方法,是否...
使用libpcap的数据包捕获程序,原始捕获功能(CAP_NET_RAW,CAP_NET_ADMIN)在/usr/bin及其附属程序之外无法正常工作。
TL;DR: 为什么只有在 /usr/bin(或 /usr/sbin)中,cap_net_raw 和 cap_net_admin 才能正常工作,而其他地方不行?这个问题能否在其他地方进行配置? 我在 Ubuntu 14.04 中使用 libpcap 编写 C 程序时遇到了分配权限的问题。即使...
Docker-Compose:cap_drop 和 cap_add 的顺序应该是怎样的?
Docker Compose 文件参考 中对于 cap_add 和 cap_drop 的说明较为简洁: 增加或删除容器的能力。请参阅 man 7 capabilities 获取完整列表。 这些元素有顺序吗?比如先添加再删除?或者说顺序是否重要(在 YAML 字典中是否支持)? 当 c...