如何讓 Linux 下非 root 使用者程式使用小於 1024 埠

在 Linux 下，預設情況下1024 以下的埠是要在 root 下才能使用的，在其他使用者下，如果嘗試使用將會報錯。在有的時候，我們可能考慮程式執行在 root 帳戶下，但這可能會給 Linux 系統帶來安全風險。那如何能夠讓非 root 使用者執行的程式能夠對外啟用小於 1024 的埠呢？

本文嘗試給出一些方法：

（題圖來自： wordpress.com）

第一種方法：SetUID

給使用者的應用程式在執行位設定使用者 ID 能夠使程式可以以 root 許可權來執行，這個方法讓程式能夠像在 root 下執行一樣，不過需要非常小心，這種方法同樣會帶來安全風險，特別是當要執行的程式本身存在安全風險時。

使用的方法是：

chown root.root /path/to/application
#使用SetUID
chmod u+s /path/to/application

我們可以看到在系統下，/usr/bin/passwd這種檔案，就使用了SetUID，使得每個系統能的使用者都能用passwd來修改密碼——這是要修改/etc/passwd的檔案（而這個只有root有許可權）。

既然要使用非root使用者執行程式，目的就是要降低程式本身給系統帶來的安全風險，因此，本方法使用的時候需要特別謹慎。

第二種方法：CAP_NET_BIND_SERVICE

從 2.1 版本開始，Linux 核心有了能力的概念，這使得普通使用者也能夠做只有超級使用者才能完成的工作，這包括使用埠。

獲取CAP_NET_BIND_SERVICE能力，即使服務程式執行在非root帳戶下，也能夠banding到低埠。使用的方法：

# 設定CAP_NET_BIND_SERVICE
setcap cap_net_bind_service =+ep /path/to/application

Note：

1. 這個方法並不是所有Linux系統通適，核心在2.1之前的並沒有提供，因此你需要檢查要使用此方法所在系統是否支援；

2. 另外需要注意的是，如果要執行的程式檔案是一個指令碼，這個方法是沒有辦法正常工作的。

第三種方法：Port Forwarding

如果要執行的程式有許可權監聽其他埠，那麼這個方法是可以使用的，首先讓程式執行在非root帳戶下，並繫結高於1024的埠，在確保能正常工作的時候，將低埠通過埠轉發，將低埠轉到高階口，從而實現非root執行的程式繫結低埠。要使用此方法可以使用下面的方式：

# Enable the IP FORWARD kernel parameter.
sysctl -w net.ipv4.ip_forward=1

# Use iptables rules to redirect packets
iptables -F -t nat
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to:8088

第一步使用sysctl確保啟用IP FORWARD功能（此功能在Red Hat/CentOS預設是被禁用的），注意，程式碼中使用的sysctl設定是臨時性設定，重啟之後將會被重置，如果要長久儲存，需要在/etc/sysctl.conf檔案內修改：

# Default value is 0, need change to 1.
# net.ipv4.ip_forward = 0
net.ipv4.ip_forward = 1

然後從檔案中載入新的配置

# load new sysctl.conf
sysctl -p /etc/sysctl.conf

# or sysctl -p
# default filename is /etc/sysctl.conf

第二步就是使用iptables的規則來實現埠轉發到程式所在的埠，示例中我們要將80埠轉發到8088。

此種方法能夠比較好的達到我們的目的，我們的程式可以通過非root使用者來執行，並能夠對外提供低埠號的服務。

第四種方式：RINETD

這種方法使用的也是埠轉發，此工具可以將本地埠對映到遠端埠，但此功能對於我們當前的功能來說，有點雞肋，畢竟我們新增了一個額外的程式，這將可能會增加我們系統的風險性。在此不做推薦。