对我的开发框有这个限制是非常烦人的，因为除了我之外永远不会有任何用户。我知道标准的解决方法，但没有一个完全符合我的要求： authbind （Debian 测试中的版本，1.0，仅支持 IPv4）使用 iptables REDIRECT 目标将低端口重定向到高端口（ip6tables 的“nat”表尚未实现，iptables 的 IPv6 版本） sudo（以root身份运行是我要避免的） SELinux（或类似的）。（这只是我的开发箱，我不想引入很多额外的复杂性。）是否有一些简单的 sysctl 变量允许非 root 进程绑定到 Linux 上的“特权”端口（端口小于 1024），或者我只是运气不好？编辑：在某些情况下，您可以使用功能来执行此操作。原文由 Jason Creighton 发布，翻译遵循 CC BY-SA 4.0 许可协议

好的，感谢指出能力系统和 CAP_NET_BIND_SERVICE 能力的人。如果你有一个最近的内核，确实可以使用它来以非 root 身份启动服务，但绑定低端口。简短的回答是你这样做： setcap 'cap_net_bind_service=+ep' /path/to/program 然后在任何时候执行 program 之后，它将具有 CAP_NET_BIND_SERVICE 能力。 setcap 在 debian 包中 libcap2-bin 。现在注意事项：您至少需要一个 2.6.24 内核如果您的文件是脚本，这将不起作用。（即使用 #! 行来启动解释器）。在这种情况下，据我所知，您必须将该功能应用于解释器可执行文件本身，这当然是一场安全噩梦，因为任何使用该解释器的程序都将具有该功能。我找不到任何干净、简单的方法来解决这个问题。 Linux 将禁用 LD_LIBRARY_PATH 在任何具有提升权限的 --- program 上，如 setcap 或 suid 。因此，如果您的 program 使用自己的 .../lib/ ，您可能需要考虑其他选项，例如端口转发。资源：能力（7）手册页。如果您要在生产环境中使用功能，请仔细阅读这篇文章。这里有一些关于如何跨 exec() 调用继承功能的非常棘手的细节。 setcap 手册页 “在 GNU/Linux 上绑定 1024 以下的端口，无需 root” ：首先将我指向 setcap 的文档。注意： RHEL 首先在 v6 中添加了这个。原文由 Jason Creighton 发布，翻译遵循 CC BY-SA 4.0 许可协议

您可以进行端口重定向。这就是我为在 Linux 机器上运行的 Silverlight 策略服务器所做的 iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 943 -j REDIRECT --to-port 1300 原文由 FlappySocks 发布，翻译遵循 CC BY-SA 2.5 许可协议

有没有办法让非 root 进程绑定到 Linux 上的“特权”端口？

对我的开发框有这个限制是非常烦人的，因为除了我之外永远不会有任何用户。

我知道标准的解决方法，但没有一个完全符合我的要求：

authbind （Debian 测试中的版本，1.0，仅支持 IPv4）
使用 iptables REDIRECT 目标将低端口重定向到高端口（ip6tables 的“nat”表尚未实现，iptables 的 IPv6 版本）
sudo（以root身份运行是我要避免的）
SELinux（或类似的）。（这只是我的开发箱，我不想引入很多额外的复杂性。）

是否有一些简单的 sysctl 变量允许非 root 进程绑定到 Linux 上的“特权”端口（端口小于 1024），或者我只是运气不好？

编辑：在某些情况下，您可以使用功能来执行此操作。

原文由 Jason Creighton 发布，翻译遵循 CC BY-SA 4.0 许可协议

阅读 599

好的，感谢指出能力系统和 CAP_NET_BIND_SERVICE 能力的人。如果你有一个最近的内核，确实可以使用它来以非 root 身份启动服务，但绑定低端口。简短的回答是你这样做：

 setcap 'cap_net_bind_service=+ep' /path/to/program

然后在任何时候执行 program 之后，它将具有 CAP_NET_BIND_SERVICE 能力。 setcap 在 debian 包中 libcap2-bin 。

现在注意事项：

您至少需要一个 2.6.24 内核
如果您的文件是脚本，这将不起作用。（即使用 #! 行来启动解释器）。在这种情况下，据我所知，您必须将该功能应用于解释器可执行文件本身，这当然是一场安全噩梦，因为任何使用该解释器的程序都将具有该功能。我找不到任何干净、简单的方法来解决这个问题。
Linux 将禁用 LD_LIBRARY_PATH 在任何具有提升权限的 --- program 上，如 setcap 或 suid 。因此，如果您的 program 使用自己的 .../lib/ ，您可能需要考虑其他选项，例如端口转发。

资源：

能力（7）手册页。如果您要在生产环境中使用功能，请仔细阅读这篇文章。这里有一些关于如何跨 exec() 调用继承功能的非常棘手的细节。
setcap 手册页
“在 GNU/Linux 上绑定 1024 以下的端口，无需 root” ：首先将我指向 setcap 的文档。

注意： RHEL 首先在 v6 中添加了这个。

原文由 Jason Creighton 发布，翻译遵循 CC BY-SA 4.0 许可协议

有没有办法让非 root 进程绑定到 Linux 上的“特权”端口？

你尚未登录，登录后可以

求救，我现在想批量给500多台线上linux服务器下发脚本有什么好用的图形化工具推荐嘛？

为什么在 aws 新开 ec2 机器不显示价格？

linux 如何在执行一段命令前执行一个自定义脚本?

linux中使用vim打开文件的脚本问题？

ubuntu里sudo用户打开的程序里没法使用fcitx输入法怎么办?

如何部署WGCLOUD的agent?

怎么设置 aws ec2 t2.micro 免费流量用完之后，就自动断网，避免花钱？

Stack Overflow 翻译