現状では、Linux は root 以外のユーザーに対して 1024 未満のポートをバインドできません。
通常のユーザーがポート 80 をバインドできないのと同じように、特定の通常のユーザーがポートをバインドできないように、そのポートの範囲をブラックリストまたはホワイトリストに登録するにはどうすればよいでしょうか。
がある交通を遮断する方法これらのポートは iptables 経由で接続できますが、これは実際のマルチユーザー環境であるため、バインドが不可能である必要があります。
答え1
添付した記事に基づくと、いくつかのオプションがあり、それらを組み合わせることができます。
- SELinux - 前述したように、bind システム コールなどの特定のプロセスにこれを制限するポリシーを設定する必要がある場合があります。
- GRSecurity - 記事では、このアプリケーションを特定のものにする必要があると述べられているので、アプリケーションをユーザーのシェル (つまり /bin/bash) として定義すれば、うまくいくのではないかと思います。
GRSecurity に一致すると思われる他のものもリストされていますが、GRSecurity を追求する場合は、カーネルで GRSecurity が有効になっていることを確認する必要があります。
答え2
一つのアプローチとしては、港湾保護区これは Ubuntu で見つかります。これにより、他のユーザーがバインドできないように予約されるポートにバインドできるようになります。