最近我发现需要将应用程序提升到更高的权限级别,以便bind()到<1024端口。
我一直在用sudo来运行它,这对于内部testing来说是很好的,但是把它作为root来运行通常是一个非常糟糕的主意。
我听说过setuid root,但是当我查看lighthttpd的源代码时,它会显示:
#ifdef HAVE_GETUID if (!i_am_root && issetugid()) { /* we are setuid-root */ log_error_write(srv, __FILE__, __LINE__, "s", "Are you nuts ? Don't apply a SUID bit to this binary"); server_free(srv); return -1; } #endif
那么什么是普遍接受的方法来允许绑定到特权端口? 我只需要更高的特权绑定。 之后,它可以作为普通用户运行。
这些是我听说过的,但似乎并不是大多数软件使用的,这就是为什么我要问这个问题。
您可以将CAP_NET_BIND_SERVICE capability分配给二进制文件,或者以root身份运行以获取端口并立即删除权限。