Как пользователь без полномочий root может прослушивать привилегированный порт

anish

03.01.2023, 10:37

Я должен был получить исключение привязки вместо привязки к привилегированному порту.

% docker run --rm -u никто alpine nc -l 0.0.0.0 443

% docker exec -it b2b471d05398 sh
~ $ идентификатор
uid=65534(никто) gid=65534(никто)
~$ пс
PID ПОЛЬЗОВАТЕЛЬСКАЯ КОМАНДА ВРЕМЕНИ
    1 никто 0:00 nc -l 0.0.0.0 443
    8 никто 0:00 ш
   15 никто 0:00 пс
~ $ %

Даже попробовал другой подход, построив Докерфайл

ОТ python: последний
КОПИРОВАТЬ index.html /
ЭКСПОЗИЦИЯ 80
ПОЛЬЗОВАТЕЛЬ никто
CMD python -m http.сервер 80

docker build -t тест.
docker run --rm -u никто не проверяет

~ % докер пс
ИДЕНТИФИКАТОР КОНТЕЙНЕРА ИЗОБРАЖЕНИЕ КОМАНДА СОЗДАНА СТАТУС ИМЕНА ПОРТОВ
b40c6c33a187 test "/bin/sh -c 'python â ¦" 28 секунд назад Up 27 секунд 80/tcp практическая_люмиер

Пробовал и этот, но он может привязать порт меньше 1024.

docker run --rm -u Nobody --cap-drop=SETUID --cap-drop=NET_BIND_SERVICE --cap-drop=SETFCAP --cap-drop=NET_RAW alpine nc -l 0.0.0.0 443

672

1 + 0

линукс

докер

Рейтинг:2

Server

Jimmy

03.01.2023, 12:50

Параметр настройки ядра по умолчанию net.ipv4.ip_непривилегированный_порт_старт для контейнеров установлено значение 0 что делает все порты в док-контейнере непривилегированными.

Все процессы внутри контейнера могут привязываться к любому порту (контейнера) даже в качестве непривилегированного пользователя.

Что касается предоставления привилегированных портов непривилегированным пользователям в ОС хоста, см. https://docs.docker.com/engine/security/rootless/#разоблачение-привилегированных-портов

0 + 0

Admin

Этот вопрос на других языках:

EN: How non root user able to listen on priviledge port

TH: ผู้ใช้ที่ไม่ใช่รูทสามารถฟังพอร์ตสิทธิพิเศษได้อย่างไร

RO: Cum poate un utilizator non-root să asculte pe portul privilegiat

RU: Как пользователь без полномочий root может прослушивать привилегированный порт

VI: Làm thế nào người dùng không root có thể nghe trên cổng đặc quyền

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.