Как открыть порт в Linux менее 1024 обычному пользователю?

Question

[Aristes]

Добрый день!

Есть такой немного глупый вопрос.
Как известно порты до 1024 являются зарезервированными и в этой зоне обычные пользователи (системы) не могут назначать порты, кроме root конечно же.

А проблемка в том что у меня есть graylog2, запускающийся от своей группы и пользователя без root прав к системе. А порт syslog -> 514 UDP, и graylog2 не может открыть эти порты, потому что не хватает прав.

Запускай на другом порту syslog скажете Вы, но у меня есть свитчи у которых в настройках Remote Syslog нельза указать порт... Пичалька.

Тут 2 варианта:
1) Запускать GrayLog2 от родного пользователя но с тонко настроенными правами.
2) Запускать GrayLog2 от root.

По первому варианту мне не понятно как это сделать... Подскажите пожалуйста. Наведите на путь истинный.
По второму варианту все понятно, но это слишком небезопасное решение.
Ну и ваши варианты... другие способы?

Спасибо за ответы.

Comments

[Aristes]

*******
iptables -A PREROUTING -t nat -i eth0 -p udp --dport 514 -j REDIRECT --to-port 10515
*******
хех что-то я про IP TABLES совсем забыл. Еще не проверил но вероятнее всего 100% работает.

Answer 1

[Влад Животнев]

setcap 'cap_net_bind_service=+ep' /path/to/graylog/binary
(это от рута сказать надо).

Comments

[Aristes]

да setcap наверное самое оптимальное решение, спасибо, правда насколько я знаю открытием портов в graylog занимается java там что права дать надо ей.

[Aristes]

Aristes: что то типа того setcap 'cap_net_bind_service=+ep' /usr/lib/jvm/jre-1.7.0-openjdk.x86_64/bin/java

[Влад Животнев]

Aristes: Тогда хотя бы бинарник скопируйте с другим названием и cap только на копию выдайте.
Чтобы рандомная вирусня не могла джаву на 25м порту, например, запустить.

[Влад Животнев]

Aristes: (ну то есть она сможет один хрен, но это уже только при целевой атаке).

Answer 2

[Армянское Радио]

Как раз метод с переназначением порта является потенциально опасным костылем - вы сделали закрытую сущность открытой.

Comments

[Aristes]

Хм... извиняюсь чуть раскройте ответ. В чем плоха предварительная обработка пакетов?
Или же имеется ввиду что я ввожу в заблуждение, если смотреть со стороны?

[Армянское Радио]

Aristes: вы сделали порт, который для всех закрыт открытым всем ветрам

[Aristes]

Нуу у меня тем же самым IP TABLES'ом все прикрыто, думаю нестрашно...

[Aves]

Армянское Радио: а чем принципиально различаются порты 80 и 8080? Важны права приложения, которое порт слушает, а не его номер. С переадресацией как раз безопаснее - порт слушает непривилегированное приложение.

[Армянское Радио]

Aves: Проблема в том, что любое приложение сможет заслушать этот порт. А так как будет наверняка использована опция SO_REUSEADDR, это приложение сможет перехватить контроль над портом.

[Aves]

Армянское Радио: как раз не любое, а только с root правами, а с ними в системе и так можно сделать что угодно.

Answer 3

[Олег Цилюрик]

Как открыть порт в Linux менее 1024 обычному пользователю?

Порты до 1024 - привилегированные. Работать с ними может только root. Любые косвенные фокусы будут тоже сводиться к тому, что вы получаете права root.

Answer 4

[protven]

Дать права sudo пользователю. Заюзать setuid. Вариантов-то масса. Самый кошерный, имхо, дать sudo этому пользователю на конкретно это действие.

Comments

[Aristes]

Действительно вариантов масса, каким методом graylog2 открывает порты я не знаю, давать права sudo, тоже мне кажется немного опасным. Нашел решение через IP TABLES (дурья башка, совсем забыл про него) см. комментарий к вопросу.

Answer 5

[kpcp]

проблема решается 1 строчкой
iptables -A PREROUTING -t nat -p udp --dport 514 -j REDIRECT --to-port 5145