Bogdan wrote:
On 30 Jun 2003 19:40:03 +0500
dim <[EMAIL PROTECTED]> wrote:


Подскажите, плиз, где раздаются права на порты?

Т.е. как, например, позволить какому-нить юзверю работать с портом 80?

Есть мини-веб-сервачок (xsp) хочется гонять его на 80, но как-нибудь
уж не из-под рута. ;)))

Сейчас решено с помощью iptables редиректом на 8080, но наверное есть
и более изящные способы?

Спасибо! :)))
Привет! :)))


Строго говоря - никак (по крйней мере такое не должно работать) - как
правило сервак запускаетс рутом, делает биндинг на порт, затем твой
сервак сменяет юзверя и групу (опционально делается chroot) и начинает
слушать запросы. И никак иначе тут без suid или sudo видимо не обойтись.
Ну... есть еще всякие патчи для ядра типа SPA (дает право группе биндиться на порт), во всяких grsecurity тоже есть подобные вещи..

есть еще [x]inetd....

start-stop-daemon тоже умеет chroot, chown и тп


ЗЫ вопрос: а какой тулзой (???.deb) можно Капу выправить? например оставить только CAP_NET_BIND_SERVICE. start-stop-daemon это уметь будет?

Ответить