Dit is de opdracht authbind die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
authbind - bind sockets aan geprivilegieerde poorten zonder root
KORTE INHOUD
autbind [opties] programma [argument
PRODUCTBESCHRIJVING
autbind staat toe dat een programma dat niet als root draait of zou moeten draaien, zich kan binden aan lage nummers
havens op een gecontroleerde manier.
U moet het programma oproepen met behulp van autbind. autbind zal een omgeving opzetten
variabelen, waaronder een LD_PRELOAD, waarmee het programma (inclusief eventuele
subprocessen die het kan uitvoeren) om te binden aan laaggenummerde (<512) poorten als het systeem is geconfigureerd
om dit toe te staan.
OPTIES
--diep Normaal autbind zorgt ervoor dat alleen het programma wordt weergegeven dat het rechtstreeks aanroept
beïnvloed door de speciale versie van binden(2). Als u specificeert --diep dan allemaal
programma's waarop dat programma direct of indirect een beroep doet, zullen dus worden beïnvloed
zolang ze de omgevingsvariabelen die zijn ingesteld door niet uitschakelen autbind.
--diepte niveaus
Oorzaken autbind om programma's te beïnvloeden die dat wel zijn niveaus diep in de oproepende grafiek. De
standaard is --diepte 1.
TOEGANG CONTROL
Toegang tot laaggenummerde poorten wordt gecontroleerd door machtigingen en inhoud van bestanden in een
configuratiegebied, /etc/authbind.
Allereerst /etc/authbind/byport/port wordt getest. Als dit bestand toegankelijk is voor uitvoering naar
de bellende gebruiker, volgens toegang(2), dan is binding aan de haven toegestaan. Als de
kan worden gezien dat het bestand niet bestaat (de bestaanscontrole keert terug GENOENT) dan zullen verdere tests dat wel doen
worden gebruikt om toestemming te vinden; anders is binding niet toegestaan, en de binden Bellen
zal terugkeren met de fout waarde van de toegang(2) bellen, meestal TOEGANG (Toestemming
ontkend).
Ten tweede, als die test de kwestie niet oplost, /etc/authbind/byaddr/addr,port (ieder
protocol) of bij gebreke daarvan /etc/authbind/byaddr/addr:port (alleen IPv4) is getest in de
op dezelfde manier als hierboven. Hier addr is vanaf inet_ntop en port is het (lokale) TCP of UDP
poortnummer, uitgedrukt als een geheel getal zonder teken in het minimale aantal cijfers dat niet nul is.
Ten derde, alleen voor IPv6: aangezien de tekstuele weergave van inet_ntop is ingewikkeld
voorspellen, een variant van addr wordt ook getest waarbij geen gebruik wordt gemaakt van de dubbele punt
afkorting: elk stuk van 16 bytes, uitgedrukt in het minimale aantal niet-nul aantal hexadecimale cijfers
(dwz zonder voorloopnullen), waarbij de stukken gescheiden worden door dubbele punten zoals ze zijn
conventioneel.
Ten vierde: als de vraag nog steeds niet is opgelost, wordt het dossier /etc/authbind/byuid/uid zal zijn
geopend en gelezen. Als het bestand niet bestaat, is de binding niet geautoriseerd en binden
zal terugkeren EPERM (Werking niet toegestaanof Niet eigenaar). Als het bestand bestaat, zal dat wel het geval zijn
worden gezocht naar een regel van het formulier
adresmin[-adresmax],portmin[-poortmax]
addr[/lengte],portmin[-poortmax]
adres4/lengte:portmin,poortmax
passend bij het verzoek. Het eerste formulier vereist dat het adres in het relevante bereik ligt
(inclusief aan beide uiteinden). Voor de tweede en derde vorm is de initiaal vereist lengte stukjes
of addr overeenkomen met die in het voorgestelde binden telefoongesprek. De derde vorm is alleen beschikbaar voor IPv4
omdat IPv6-adressen dubbele punten bevatten. Adressen in het byuid-bestand kunnen elke vorm hebben
aanvaardbaar voor inet_pton. In alle gevallen moet het voorgestelde poortnummer in de
inclusief bereik gespecificeerd. Als een dergelijke lijn wordt gevonden, is de binding geautoriseerd.
Anders is het niet, en binden mee zal mislukken GENOENT (Nee dergelijk filet or directory).
Als er een leesfout optreedt, of de directory /etc/authbind niet toegankelijk zijn, en niet alleen
wil binden fail, maar er wordt een foutmelding afgedrukt naar stderr. Onbekende regels binnen
/etc/authbind/byuid/uid bestanden worden stilzwijgend genegeerd, net als de regels waarvan addr heeft niet-nul
beetje meer dan lengte van de top of waar sommigen Min is groter dan max.
VOORBEELD
Dus bijvoorbeeld een poging van uid 432 om te binden aan poort 80 van het adres
[2620:106:e002:f00f::21] zou resulteren in het aanroepen van authbind toegang(2) op, in volgorde,
/etc/authbind/byport/80
/etc/authbind/byaddr/2620:106:e002:f00f::21,80
/etc/authbind/byaddr/2620:106:e002:f00f:0:0:0:21,80
Als geen van deze bestanden bestaat, wordt authbind gelezen
/etc/authbind/byuid/432
en zoek naar een lijn om de relevante toegang toe te staan; voorbeelden van lijnen die dit zouden doen
zijn:
2620:106:e002:f00f::21,80
:: / 0,80
PORTS 512-1023
Het autoriseren van bindingen aan poorten van 512 tot en met 1023 wordt niet aanbevolen. Sommige
protocollen (waaronder sommige versies van NFS) autoriseren clients door te zien wat ze gebruiken
een poortnummer in dit bereik. Dus door een programma te autoriseren als server voor een dergelijke poort,
u geeft hem ook toestemming om de hele host voor die protocollen na te bootsen.
Om er zeker van te zijn dat dit niet per ongeluk gebeurt, als het gevraagde poortnummer in de
bereik 512-1023, verwacht authbind dat de machtigingsbestanden een extra bestand hebben ! de
begin van hun bladnaam.
MECHANISME
De gedeelde bibliotheek is geladen met LD_PRELOAD overschrijft de binden(2) systeemoproep. Wanneer een
programma aangeroepen via autbind gesprekken binden om een socket te binden aan een laaggenummerde TCP/IP-poort,
en als het programma nog geen effectieve uid van 0 heeft, de versie van binden
verondersteld door autbind forks en voert een setuid-root helperprogramma uit. Voor niet-TCP/IP
sockets, poorten met een hoog nummer of programma's die al root zijn, autbind geeft de oproep door
naar het origineel binden(2) systeemoproep, die wordt gevonden met behulp van dlsym(3) met het handvat
RTLD_NEXT.
FOUT VERWERKING BESTELLING
Meestal zijn de normale C-foutafhandelingsmechanismen van toepassing. Als autbind kan het programma niet vinden
er is gevraagd om uit te voeren, het zal een bericht afdrukken naar stderr en afsluiten met code 255.
Het helperprogramma rapporteert gewoonlijk terug naar de gedeelde bibliotheek met een afsluitstatus
met een fout waarde die codeert of de binden toegestaan en succesvol.
Dit wordt op de gebruikelijke manier teruggestuurd naar het oproepende programma.
In het geval van duidelijke configuratie- of andere ernstige fouten kan de bibliotheek en/of de
helper-programma kan ervoor zorgen dat berichten worden afgedrukt naar de stderr van het programma, evenals
retourneert -1 van binden.
Gebruik authbind online met behulp van onworks.net-services
