Fórum Root.cz

Hlavní témata => Server => Téma založeno: hknmtt 03. 04. 2025, 19:55:13

Název: Jak správně změnit nejnižší privilegovaný port?
Přispěvatel: hknmtt 03. 04. 2025, 19:55:13

Pre vyuzitie portu 0-1023 je nutne byt privilegovany pouzivatel, pripadne sa to da obist roznymi sposobmi. Z tych co som nasiel mi prisiel

Kód: [Vybrat]

sysctl -w net.ipv4.ip_unprivileged_port_start=123 ako najvhodnejsi, pretoze napriklad pouzitie CAP_NET_BIND_SERVICE je aplikovane iba na konkretnu binarku a ked sa zmeni(aktualizacia), tak to treba nanovo nastavit. Je mozne aj pouzitie lokalnej proxiny beziacej pod rootom, alebo firewall redirect. Ako som pisal, ziadna z alternativ mi nevyhohovala. Bohuzial, zda sa ze ani moj zvoleny postup neprezije restart. Je nejak mozne to nastavit natvrdo?

Název: Re:Jak správně změnit nejnižší privilegovaný port?
Přispěvatel: Petr Krčmář 03. 04. 2025, 20:08:34

Dobrý a trvanlivý postup je popsán v článku Web server Nginx bez práv roota s pomocí systemd (https://www.root.cz/clanky/web-server-nginx-bez-prav-roota-s-pomoci-systemd/). Pokud jde o službu, stačí upravit její unit file a použít volbu AmbientCapabilities, díky které je možné službě trvale přidat zmíněnou kapabilitu CAP_NET_BIND_SERVICE.

Název: Re:Jak správně změnit nejnižší privilegovaný port?
Přispěvatel: hknmtt 03. 04. 2025, 21:28:48

To znie ako najvhodnejsie riesenie.

Název: Re:Jak správně změnit nejnižší privilegovaný port?
Přispěvatel: vcunat 03. 04. 2025, 21:53:56

Ano.  Dá se to ještě vylepšit (u mnohých typů serverů) tak, že daná binárka tu capabilitu dropne hned po začátku poslechu na startu.  Ale to musí být tak napsaná a nepřijde mi to jako zásadní si tu schopnost ponechat.