在没有setcap的情况下在Linux中打开原始套接字cap_net_raw

Question

我想在Linux中（使用Python）打开一个原始套接字而不给Python cap_net_raw功能。我希望用户拥有这个能力，而不是程序。我使用的是Ubuntu 12.4。

Answer 1

我一直在为此而苦苦挣扎。似乎没有任何好的解决方法，至少对于像Python这样的解释性语言来说。以root运行或不捕获原始数据包:)。我唯一能想到的就是将脚本作为守护进程来执行。

须藤服务启动snifferd

其中snifferd是一样的东西：

PATH=/sbin:/bin:/usr/sbin:/usr/bin 
DAEMON=/home/<user>/projects/sniffer.py 
DAEMON_NAME=snifferd 

case "$1" in 
    start) 
     log_daemon_msg "Starting $DAEMON_NAME" 
     setcap cap_net_raw=+ep /usr/bin/python2.7 
     start-stop-daemon --start --background --pidfile $PIDFILE --make-pid --user $DAEMON_USER --chuid $DAEMON_USER --startas $DAEMON 
     setcap cap_net_raw=-ep /usr/bin/python2.7 
     log_end_msg $? 
    ;; 
... 

我已经试过正确初始化的插座，并在之后取下盖子之前执行我的代码setcap但似乎蟒蛇在实例启动之前需要权限。

还有http://www.subspacefield.org/security/privilege/code/privilege/ privelege下降，但我没有真正看过它。

编辑1 刚刚尝试过。它可以工作，但是如果deamon在程序需要之前删除它的功能，它将会失败。猜测，它需要某种暂停在那里等

Answer 2

功能与流程（线程是精确的），而不是用户。

正如@wheredidthatnamecomefrom指出的那样，您可以利用环境功能仅用cap_net_raw执行python脚本，而不需要为python二进制文件设置任何文件功能。

你可以看看the following question关于如何做到这一点的一般想法。