На самом деле Linux не может привязать порты < 1024 ни к одному пользователю, кроме root.
Как внести в черный или белый список диапазоны портов для определенных обычных пользователей, чтобы они не могли привязать их, так же как обычный пользователь не может привязать порт 80?
Естьспособ заблокировать движениечерез эти порты через iptables, но поскольку это настоящая многопользовательская среда, их действительно нужно сделать невозможно привязать.
решение1
На основании статьи, которую я прилагаю, у вас есть несколько возможных вариантов, и вы можете их объединить:
- SELinux — как было сказано ранее, вам, возможно, придется установить политику, чтобы ограничить это определенными процессами, такими как системные вызовы привязки и т. п.
- GRSecurity - В статье говорится, что вам придется сделать это приложение конкретным, поэтому мне интересно, если вы просто определите приложение как оболочку пользователя (например, /bin/bash), это может сработать.
В списке есть и другие, которые, по-видимому, соответствуют GRSecurity, но если вы все же решите использовать GRSecurity, вам необходимо убедиться, что в вашем ядре он включен.
Как ограничить порты, к которым могут привязываться пользователи?
решение2
Одним из подходов было бы запуститьпортовый резервкоторый можно найти в Ubuntu, он позволяет вам привязываться к портам, которые затем будут зарезервированы, запрещая кому-либо другому привязываться к ним.