Jest to polecenie uwierzytelniania, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu Mac OS
PROGRAM:
IMIĘ
authbind - połącz gniazda z portami uprzywilejowanymi bez roota
STRESZCZENIE
powiązać [Opcje] program [argument ...]
OPIS
powiązać pozwala programowi, który nie działa lub nie powinien działać jako root, na powiązanie z low-numbered
porty w kontrolowany sposób.
Musisz wywołać program za pomocą powiązać. powiązać skonfiguruję jakieś środowisko
zmienne, w tym an LD_PRELOAD, co pozwoli programowi (w tym dowolne
podprocesy, które może uruchomić), aby połączyć się z portami o niskim numerze (<512), jeśli system jest skonfigurowany
na to pozwolić.
OPCJE
--głęboko Zazwyczaj powiązać aranżuje, aby tylko program, który wywołuje bezpośrednio, był
dotknięty jego specjalną wersją związania(2). Jeśli określisz --głęboko to wszystko
programy, które ten program wywołuje bezpośrednio lub pośrednio, zostaną naruszone, więc
o ile nie usuwają ustawień zmiennych środowiskowych ustawionych przez powiązać.
--głębokość poziomy
Rozwiązania powiązać wpływać na programy, które są poziomy głęboko w wykresie połączeń. ten
wartość domyślna to --głębokość 1.
DOSTĘP CONTROL
Dostęp do portów o niskich numerach jest kontrolowany przez uprawnienia i zawartość plików w
obszar konfiguracji, /etc/authbind.
Po pierwsze, /etc/authbind/byport/Port jest testowany. Jeśli ten plik jest dostępny do wykonania dla
dzwoniący użytkownik, według dostęp(2), wówczas dozwolone jest wiązanie z portem. Jeśli
widać, że plik nie istnieje (powraca sprawdzenie istnienia ENOENT) wtedy dalsze testy będą
być wykorzystywane do wyszukiwania autoryzacji; w przeciwnym razie wiązanie nie jest dozwolone, a związania wezwanie
wróci z errno wartość z dostęp(2) zadzwoń, zwykle DOSTĘPY (pozwolenie
odmówiono).
Po drugie, jeśli ten test nie rozwiąże sprawy, /etc/authbind/byaddr/Addr,Port (każdy
protokół) lub w przypadku braku tego /etc/authbind/byaddr/Addr:Port (tylko IPv4) jest testowany w
w taki sam sposób jak powyżej. Tutaj Addr jest jak z inet_ntop, Port to (lokalny) TCP lub UDP
numer portu wyrażony jako liczba całkowita bez znaku w minimalnej niezerowej liczbie cyfr.
Po trzecie, tylko dla IPv6: ponieważ tekstowa reprezentacja z inet_ntop jest skomplikowane do
przewidzieć, wariant Addr jest również testowany, który nie używa podwójnego dwukropka
skrót: każdy 16-bajtowy fragment wyrażony w minimalnej niezerowej liczbie cyfr szesnastkowych
(tj. z usuniętymi wiodącymi zerami), fragmenty są oddzielone dwukropkami, tak jak jest
standardowy.
Po czwarte, jeśli pytanie nadal pozostaje nierozwiązane, akta /etc/authbind/byuid/uid będzie
otwarte i przeczytane. Jeśli plik nie istnieje, powiązanie nie jest autoryzowane i związania
wróci EPERM (Działanie nie dozwolonylub Nie właściciel). Jeśli plik istnieje, będzie
być przeszukiwanym dla linii formularza
admin[-adresmaks],portmin[-portmax]
Addr[/długość],portmin[-portmax]
adres 4/długość:portmin,portmax
pasujące do żądania. Pierwsza forma wymaga, aby adres znajdował się w odpowiednim zakresie
(włącznie na obu końcach). Druga i trzecia forma wymagają, aby inicjał długość Bity
of Addr dopasuj te w proponowanych związania połączenie. Trzecia forma jest dostępna tylko dla IPv4
ponieważ adresy IPv6 zawierają dwukropki. Adresy w pliku byuid mogą mieć dowolną formę
akceptowalne przez inet_pton. We wszystkich przypadkach proponowany numer portu musi leżeć w
określony zakres włącznie. W przypadku znalezienia takiej linii następuje autoryzacja wiązania.
W przeciwnym razie tak nie jest, i związania zawiedzie z ENOENT (Nie taki filet or katalog).
Jeśli wystąpi błąd odczytu, lub katalog /etc/authbind niedostępny, to nie tylko
będzie związania nie powiedzie się, ale komunikat o błędzie zostanie wydrukowany na stderr. Nierozpoznane linie w
/etc/authbind/byuid/uid pliki są po cichu ignorowane, podobnie jak wiersze, których Addr ma wartość niezerową
bity więcej niż długość z góry lub gdzie jakieś min jest większy niż max.
PRZYKŁAD
Na przykład próba połączenia przez uid 432 z portem 80 adresu
[2620:106:e002:f00f::21] spowoduje wywołanie powiązania uwierzytelniania dostęp(2) w kolejności,
/etc/authbind/byport/80
/etc/authbind/byaddr/2620:106:e002:f00f::21,80
/etc/authbind/byaddr/2620:106:e002:f00f:0:0:0:21,80
Jeśli żaden z tych plików nie istnieje, authbind odczyta
/etc/authbind/byuid/432
i wyszukaj linię, aby umożliwić odpowiedni dostęp; przykłady linii, które by to zrobiły
należą:
2620:106:e002:f00f::21,80
::/0,80
PORTY 512-1023
Autoryzacja powiązania z portami od 512 do 1023 włącznie nie jest zalecana. Trochę
protokoły (w tym niektóre wersje NFS) autoryzują klientów, widząc, że używają
numer portu z tego zakresu. Więc autoryzując program jako serwer dla takiego portu,
upoważniasz go również do podszywania się pod całego hosta dla tych protokołów.
Aby upewnić się, że nie jest to zrobione przez przypadek, jeśli żądany numer portu znajduje się w
zakres 512-1023, authbind będzie oczekiwać, że pliki uprawnień będą miały dodatkowe ! na
początek ich nazwy liścia.
MECHANIZM
Biblioteka współdzielona załadowana za pomocą LD_PRELOAD zastępuje związania(2) wywołanie systemowe. Kiedy
program wywoływany przez powiązać Połączenia związania powiązać gniazdo z portem TCP/IP o niskim numerze,
a jeśli program nie ma jeszcze efektywnego uid równego 0, wersja związania
przypuszczalnie przez powiązać rozwidla się i wykonuje program pomocniczy setuid-root. Dla innych niż TCP/IP
gniazda, porty o wysokich numerach lub programy, które są już rootem, powiązać przekazuje wezwanie
do oryginału związania(2) wywołanie systemowe, które znajduje się za pomocą dlsym(3) z uchwytem
RTLD_NEXT.
BŁĄD OBSŁUGA
Zwykle stosuje się normalne mechanizmy obsługi błędów języka C. Gdyby powiązać nie mogę znaleźć programu
został poproszony o wykonanie, wyświetli komunikat na stderr i wyjdzie z kodem 255.
Program pomocniczy zwykle zgłasza się do biblioteki współdzielonej ze statusem wyjścia
zawierający errno wartość, która koduje, czy związania było dozwolone i udane.
Zostanie to zwrócone do programu wywołującego w zwykły sposób.
W przypadku widocznej konfiguracji lub innych poważnych błędów biblioteka i/lub
program pomocniczy może powodować wypisywanie komunikatów na stderr programu, również
powrót -1 z związania.
Korzystaj z uwierzytelniania online za pomocą usług onworks.net
