זהו הפקודה authbind שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
authbind - חיבור שקעים ליציאות מורשות ללא שורש
תַקצִיר
לאגד [אפשרויות] התוכנית [טענה ...]
תיאור
לאגד מאפשר לתוכנית שאינה פועלת או לא אמורה לפעול כשורש להיקשר למספר נמוך
יציאות בצורה מבוקרת.
עליך להפעיל את התוכנית באמצעות לאגד. לאגד יגדיר סביבה כלשהי
משתנים, כולל an LD_PRELOAD, אשר יאפשר את התוכנית (כולל כל
תת-תהליכים שהוא עשוי להפעיל) כדי לאגד ליציאות עם מספר נמוך (<512) אם המערכת מוגדרת
כדי לאפשר זאת.
אפשרויות
--עָמוֹק בדרך כלל, לאגד מארגן רק את התוכנית שהיא מפעילה ישירות להיות
מושפע מהגרסה המיוחדת שלו של לאגד(2). אם תפרט --עָמוֹק אחר כך הכל
תוכניות שתוכנית זו מפעילה ישירות או בעקיפין יושפעו, כך
כל עוד הם לא מבטלים את משתני הסביבה שהוגדרו על ידי לאגד.
--עוֹמֶק רמות
סיבות לאגד להשפיע על תוכניות שהן רמות עמוק בגרף השיחות. ה
ברירת המחדל היא --עוֹמֶק 1.
גישה בקרה לפני ואחרי הטיפול
הגישה ליציאות עם מספר נמוך נשלטת על ידי הרשאות ותכנים של קבצים ב-a
אזור תצורה, /etc/authbind.
ראשית, /etc/authbind/byport/נמל נבדק. אם קובץ זה נגיש לביצוע ל
המשתמש המתקשר, לפי גישה(2), אז מותרת חיבור לנמל. אם ה
ניתן לראות שהקובץ אינו קיים (בדיקת הקיום חוזרת ENOENT) אז יעשו בדיקות נוספות
לשמש למציאת הרשאה; אחרת, כריכה אינה מורשית, וה- לאגד שיחה
יחזור עם ארנו ערך מה- גישה(2) להתקשר, בדרך כלל EACCES (רשות
נדחתה).
שנית, אם המבחן הזה לא יצליח לפתור את העניין, /etc/authbind/byaddr/Addr,נמל (כל
פרוטוקול) או אם נכשל בכך /etc/authbind/byaddr/Addr:נמל (IPv4 בלבד) נבדק, ב-
באותו אופן כמו לעיל. פה Addr הוא כמו מ inet_ntop, ו נמל הוא ה-TCP או UDP (המקומי).
מספר יציאה, מבוטא כמספר שלם ללא סימן במספר המינימלי שאינו אפס של ספרות.
שלישית, עבור IPv6 בלבד: מאז הייצוג הטקסטואלי מ inet_ntop מסובך ל
לחזות, גרסה של Addr נבדק גם שאינו משתמש במעי הגס הכפול
קיצור: כל נתח של 16 בתים מבוטא במספר המינימלי שאינו אפס של ספרות hex
(כלומר עם אפסים מובילים הוסרו), הנתחים מופרדים על ידי נקודתיים כפי שהם
מוּסכָּם.
רביעית, אם השאלה עדיין לא נפתרה, התיק /etc/authbind/byuid/uid יהיה
נפתח וקרא. אם הקובץ לא קיים אז הכריכה אינה מורשית ו לאגד
יחזור EPERM (פעולה לֹא מותר, או לֹא בעלים). אם הקובץ אכן קיים הוא יהיה
לחפש שורה של הטופס
adrmin[-addrmax],portmin[-portmax]
Addr[/אורך],portmin[-portmax]
adr4/אורך:portmin,portmax
תואם את הבקשה. הטופס הראשון מחייב שהכתובת תהיה בטווח הרלוונטי
(כולל בשני הקצוות). הצורה השנייה והשלישית דורשות את ההתחלה אורך ביטים
of Addr להתאים לאלו המוצעים לאגד שִׂיחָה. הטופס השלישי זמין רק עבור IPv4
מכיוון שכתובות IPv6 מכילות נקודתיים. כתובות בקובץ byuid יכולות להיות בכל צורה
מקובל על inet_pton. בכל המקרים מספר היציאה המוצע חייב להיות נמצא ב-
טווח כולל שצוין. אם נמצא קו כזה אז הכריכה מורשית.
אחרת זה לא, ו לאגד ייכשל עם ENOENT (לא כזה פילה or בספרייה).
אם מתרחשת שגיאת קריאה, או הספרייה /etc/authbind לא ניתן לגשת, אז לא רק
יצטרך לאגד נכשל, אך הודעת שגיאה תודפס ל-stderr. שורות לא מזוהות פנימה
/etc/authbind/byuid/uid קבצים מתעלמים בשקט, וכך גם שורות של מי Addr יש לא אפס
ביטים יותר מ אורך מלמעלה או איפה כמה דקות גדול מ מקסימום.
דוגמא
אז למשל ניסיון של uid 432 לאגד ליציאה 80 של כתובת
[2620:106:e002:f00f::21] יגרום להתקשרות עם Authbind גישה(2) על, לפי הסדר,
/etc/authbind/byport/80
/etc/authbind/byaddr/2620:106:e002:f00f::21,80
/etc/authbind/byaddr/2620:106:e002:f00f:0:0:0:21,80
אם אף אחד מהקבצים האלה לא קיים, authbind יקרא
/etc/authbind/byuid/432
ולחפש קו שיאפשר את הגישה הרלוונטית; דוגמאות לקווים שיעשו זאת
הם:
2620:106:e002:f00f::21,80
::/0,80
PORTS 512-1023
לא מומלץ לאשר חיבור ליציאות מ-512 עד 1023 כולל. כמה
פרוטוקולים (כולל גרסאות מסוימות של NFS) מאשרים ללקוחות בכך שהם רואים שהם משתמשים
מספר יציאה בטווח זה. אז על ידי הרשאה לתוכנית להיות שרת עבור יציאה כזו,
אתה גם מאשר לו להתחזות לכל המארח עבור הפרוטוקולים האלה.
כדי לוודא שזה לא נעשה בטעות, אם מספר היציאה המבוקש נמצא ב-
טווח 512-1023, authbind יצפה שלקבצי ההרשאה תהיה תוספת נוספת ! ב
תחילת שם העלה שלהם.
מַנגָנוֹן
הספרייה המשותפת נטענה באמצעות LD_PRELOAD עוקף את לאגד(2) שיחת מערכת. כש
תוכנית שהופעלה באמצעות לאגד שיחות לאגד לאגד שקע ליציאת TCP/IP עם מספר נמוך,
ואם לתוכנית עדיין אין uid אפקטיבי של 0, הגרסה של לאגד
אמור על ידי לאגד מתפצל ומפעיל תוכנית עוזרת-root setuid. עבור שאינם TCP/IP
שקעים, יציאות עם מספרים גבוהים או תוכניות שכבר נמצאות בשורש, לאגד מעביר את השיחה
למקור לאגד(2) קריאת מערכת, שנמצאת באמצעות dlsym(3) עם הידית
RTLD_NEXT.
ERROR מטפל
בדרך כלל חלים מנגנוני הטיפול בשגיאות C הרגילות. אם לאגד לא יכול למצוא את התוכנית
זה התבקש לבצע זה ידפיס הודעה ל-stderr ויצא עם קוד 255.
תוכנית העזר בדרך כלל מדווחת חזרה לספרייה המשותפת עם סטטוס יציאה
המכיל ארנו ערך המקודד אם ה לאגד היה מותר ומוצלח.
זה יוחזר לתוכנית השיחות בדרך הרגילה.
במקרה של תצורה לכאורה או שגיאות חמורות אחרות, הספרייה ו/או ה
תוכנית העזר עלולה לגרום להדפסת הודעות ל-stderr של התוכנית, היה גם כן
מחזיר -1 מ לאגד.
השתמש ב-authbind באופן מקוון באמצעות שירותי onworks.net
