Jak správně změnit nejnižší privilegovaný port?

[hknmtt]

Pre vyuzitie portu 0-1023 je nutne byt privilegovany pouzivatel, pripadne sa to da obist roznymi sposobmi. Z tych co som nasiel mi prisiel

Kód: [Vybrat]

sysctl -w net.ipv4.ip_unprivileged_port_start=123 ako najvhodnejsi, pretoze napriklad pouzitie CAP_NET_BIND_SERVICE je aplikovane iba na konkretnu binarku a ked sa zmeni(aktualizacia), tak to treba nanovo nastavit. Je mozne aj pouzitie lokalnej proxiny beziacej pod rootom, alebo firewall redirect. Ako som pisal, ziadna z alternativ mi nevyhohovala. Bohuzial, zda sa ze ani moj zvoleny postup neprezije restart. Je nejak mozne to nastavit natvrdo?

[Reklama]

[Petr Krčmář]

Dobrý a trvanlivý postup je popsán v článku Web server Nginx bez práv roota s pomocí systemd. Pokud jde o službu, stačí upravit její unit file a použít volbu AmbientCapabilities, díky které je možné službě trvale přidat zmíněnou kapabilitu CAP_NET_BIND_SERVICE.

[hknmtt]

To znie ako najvhodnejsie riesenie.

[vcunat]

Ano.  Dá se to ještě vylepšit (u mnohých typů serverů) tak, že daná binárka tu capabilitu dropne hned po začátku poslechu na startu.  Ale to musí být tak napsaná a nepřijde mi to jako zásadní si tu schopnost ponechat.