Im Moment benutze ich cap_net_bind_service MY_USERNAME
in /etc/security/capability.conf.
Jetzt muss ich nur noch cap_net_bind_service+i
den Interpreter meiner bevorzugten Skriptsprache einstellen , um CAP_NET_BIND_SERVICE
den effektiven Satz über libcap [-ng] erweitern zu können.
Dies funktioniert einwandfrei, aber ich frage mich, ob es eine Möglichkeit gibt, dasselbe zu erreichen, ohne dass für die Interpreter-Binärdatei Großbuchstaben festgelegt werden. Es ist zwar kein großes Problem (andere Benutzerkonten haben keine Obergrenze, sodass sie diese nicht verwenden können, selbst wenn das Bit in der Interpreter-Binärdatei gesetzt ist), aber es ist etwas ärgerlich, da ich das Flag jedes Mal neu setzen muss, wenn der Interpreter aktiviert ist Aktualisiert.
quelle
i
(erben), kommt an exec vorbei. Undi
tut nichts für sich, es funktioniert nur, wenn die Datei eine Übereinstimmung hati
, und ich denke, dase
(effektive) Bit (es sei denn, das Skript / die ausführbare Datei setzt das). Es ist noch komplexer, dass setuid, dies ist kein Skript-Effekt.