authbind - онлайн у хмарі

ПРОГРАМА:

ІМ'Я

authbind - прив'язує сокети до привілейованих портів без root

СИНТАКСИС

автентифікація [опції] програма [аргумент ...]

ОПИС

автентифікація дозволяє програмі, яка не запускається або не повинна запускатися як root, прив’язуватися до низьких номерів
порти контрольованим способом.

Ви повинні викликати програму за допомогою автентифікація. автентифікація створить певне середовище
змінні, включаючи an LD_PRELOAD, що дозволить програмі (включаючи будь-яку
підпроцеси, які він може виконувати) для прив’язки до портів з низьким номером (<512), якщо система налаштована
дозволити це.

ВАРІАНТИ

-- глибокий Зазвичай автентифікація організовує, щоб бути лише програма, яку він безпосередньо викликає
зачіпає його спеціальна версія пов'язувати(2). Якщо ви вкажете -- глибокий потім все
програми, які ця програма викликає прямо чи опосередковано, це вплине
якщо вони не знімають змінні середовища, налаштовані за допомогою автентифікація.

--глибина рівні
Проєкти автентифікація впливати на програми, які є рівні глибоко в графі викликів. The
за замовчуванням --глибина 1.

ДОСТУП КОНТРОЛЬ

Доступ до портів з низьким номером контролюється дозволами та вмістом файлів у a
область конфігурації, /etc/authbind.

По-перше, /etc/authbind/byport/порт перевірено. Якщо цей файл доступний для виконання
користувач, що дзвонить, згідно з доступ(2), тоді прив’язка до порту дозволена. Якщо
видно, що файл не існує (перевірка існування повертається ЕНОЕНТ), тоді будуть проведені подальші тести
використовуватися для пошуку дозволу; в іншому випадку обов'язковість не дозволяється, і пов'язувати call
повернеться з неправильно значення від доступ(2) зазвичай дзвонити EACCES (дозвіл
відмовлено).

По-друге, якщо цей тест не вирішить проблему, /etc/authbind/byaddr/адр,порт (будь-який
протоколу) або якщо цього не зробити /etc/authbind/byaddr/адр:порт (тільки IPv4) перевірено в
таким же чином, як і вище. Тут адр є як від inet_ntop та порт є (локальним) TCP або UDP
номер порту, виражений у вигляді цілого числа без знаку з мінімальною ненульовою кількістю цифр.

По-третє, тільки для IPv6: оскільки текстове представлення від inet_ntop складно до
прогнозувати, варіант адр також тестується, що не використовує подвійну двокрапку
абревіатура: кожен 16-байтовий фрагмент, виражений мінімальною ненульовою кількістю шістнадцяткових цифр
(тобто з вилученими початковими нулями), фрагменти розділяються двокрапками як є
звичайні.

По-четверте, якщо питання все ще не вирішене, файл /etc/authbind/byuid/UID буде
відкрив і прочитав. Якщо файл не існує, то прив’язка не авторизована і пов'язувати
повернеться EPERM (операція НЕ дозволенийабо Чи не власник). Якщо файл існує, він буде
шукати рядок форми
addrmin[-addrmax],portmin[-portmax]
адр[/ ],portmin[-portmax]
адреса4/ :portmin,portmax
відповідність запиту. Перша форма вимагає, щоб адреса була у відповідному діапазоні
(включно з обох кінців). Друга і третя форми вимагають початкової біти
of адр відповідати запропонованим пов'язувати дзвонити. Третя форма доступна лише для IPv4
оскільки IPv6-адреси містять двокрапки. Адреси у файлі byuid можуть бути в будь-якій формі
прийнятний для inet_pton. У всіх випадках запропонований номер порту повинен лежати в
включно вказано діапазон. Якщо такий рядок знайдено, то прив’язка дозволена.
Інакше не так, і пов'язувати зазнає невдачі з ЕНОЕНТ (Немає такі файл or каталог).

Якщо виникає помилка читання, або каталог /etc/authbind неможливо отримати доступ, то не тільки
волі пов'язувати помилка, але повідомлення про помилку буде надруковано на stderr. Нерозпізнані рядки в
/etc/authbind/byuid/UID файли мовчки ігноруються, як і рядки чий адр має відмінний від нуля
біт більше ніж згори або де деякі хвилин більше, ніж Макс.

приклад

Наприклад, спроба uid 432 прив’язатися до порту 80 адреси
[2620:106:e002:f00f::21] призведе до виклику authbind доступ(2) по порядку,
/etc/authbind/byport/80
/etc/authbind/byaddr/2620:106:e002:f00f::21,80
/etc/authbind/byaddr/2620:106:e002:f00f:0:0:0:21,80
Якщо жоден з цих файлів не існує, authbind прочитає
/etc/authbind/byuid/432
і пошук рядка для надання відповідного доступу; приклади рядків, які б це зробили
є:
2620:106:e002:f00f::21,80
::/0,80

ПОРТИ 512-1023

Авторизація прив’язки до портів від 512 до 1023 включно не рекомендується. Дещо
протоколи (включаючи деякі версії NFS) авторизують клієнтів, бачачи, що вони використовують
номер порту в цьому діапазоні. Отже, дозволивши програмі бути сервером для такого порту,
ви також дозволяєте йому видавати себе за весь хост для цих протоколів.

Щоб переконатися, що це не зроблено випадково, якщо запитуваний номер порту є в
діапазон 512-1023, authbind очікує, що файли дозволів будуть мати додатковий ! в
початок їх назви листка.

МЕХАНІЗМ

Спільна бібліотека, завантажена за допомогою LD_PRELOAD перекриває пов'язувати(2) системний виклик. Коли а
програма, викликана через автентифікація дзвінки пов'язувати щоб прив'язати сокет до порту TCP/IP з низьким номером,
і якщо програма ще не має ефективного uid 0, версія пов'язувати
передбачається автентифікація розгалужується та виконує допоміжну програму setuid-root. Для не-TCP/IP
сокети, порти з великим номером або програми, які вже є root, автентифікація проходить виклик
до оригіналу пов'язувати(2) системний виклик, який знайдено за допомогою длсим(3) з ручкою
RTLD_НАСТУПНИЙ.

ERROR HANDLING

Зазвичай застосовуються звичайні механізми обробки помилок C. Якщо автентифікація не можу знайти програму
його попросили виконати, він надрукує повідомлення на stderr і вийде з кодом 255.

Допоміжна програма зазвичай повідомляє про спільну бібліотеку зі статусом виходу
що містить неправильно значення, яке кодує, чи пов'язувати було дозволеним і успішним.
Це буде повернено програмі виклику звичайним способом.

У разі очевидної конфігурації або інших серйозних помилок бібліотека та/або
Допоміжна програма може призвести до друку повідомлень у stderr програми, було добре
повернення -1 з пов'язувати.

Використовуйте authbind онлайн за допомогою служб onworks.net