我最近发现需要将应用程序提升到更高的权限级别才能bind()到端口< 1024。
我一直用sudo运行它,这对内部测试很好,但是以root身份运行它通常是一个非常糟糕的主意。
我听说过setuid root,但是当我查看lighthttpd的源代码时,它显示了:
#ifdef HAVE_GETUID
if (!i_am_root && issetugid()) {
/* we are setuid-root */
log_error_write(srv, __FILE__, __LINE__, "s",
"Are you nuts ? Don't apply a SUID bit to this binary");
server_free(srv);
return -1;
}
#endif
允许绑定到特权端口的普遍接受的方法是什么?我只需要更高的绑定权限。之后,它可以作为普通用户运行。
这些是我听说过的,但似乎不是大多数软件使用的,这就是我提出这个问题的原因。
答案 0 :(得分:2)
您可以将CAP_NET_BIND_SERVICE capability分配给二进制文件,或以root运行以获取端口并立即删除权限。