Derzeit kann Linux für keinen anderen Benutzer als Root Ports < 1024 binden.
Wie können Sie Portbereiche für bestimmte normale Benutzer auf die schwarze oder weiße Liste setzen, sodass sie diese nicht binden können, genauso wie ein normaler Benutzer Port 80 nicht binden kann?
Es gibteine Möglichkeit, den Verkehr zu blockierenüber diese Ports über iptables, aber da es sich um eine echte Mehrbenutzerumgebung handelt, dürfen sie wirklich nicht bindebar sein.
Antwort1
Basierend auf dem angehängten Artikel stehen Ihnen einige Optionen zur Verfügung, die Sie kombinieren können:
- SELinux – Wie bereits erwähnt, müssen Sie möglicherweise eine Richtlinie festlegen, um dies auf bestimmte Prozesse wie Bind-Systemaufrufe und dergleichen zu beschränken.
- GRSecurity – Im Artikel steht, dass Sie dies anwendungsspezifisch machen müssten, daher frage ich mich, ob es funktionieren könnte, wenn Sie die Anwendung einfach als Benutzer-Shell definieren (z. B. /bin/bash).
Es sind noch weitere aufgeführt, die mit GRSecurity übereinzustimmen scheinen. Wenn Sie sich jedoch für GRSecurity entscheiden, müssen Sie sicherstellen, dass es in Ihrem Kernel aktiviert ist.
Wie kann ich die Ports einschränken, an die sich Benutzer binden können?
Antwort2
Ein Ansatz wäre,HafenreservatDieses ist in Ubuntu zu finden und ermöglicht Ihnen die Bindung an die Ports, die dann reserviert wären und niemand anderem die Bindung an sie erlauben würden.