반응형
Linux System에서 TCP 및 UDP 1- 1024 이하 Prot를 서비스에 할당하기 위해서는 root 사용자 권한이 필요합니다. 하지만 서비스를 불필요하게 root로 구동하는 것은 보안상 취약해 질 수 있기 때문에 setcap 명령어 사용을 통한 권한 부여를 권장합니다.
1. setcap 옵션
-e : effective 효력 부여
-p : Permitted 허용
-i : Inheritable 권한 상속 여부(execve)
2. 권한 부여
$ setcap 'cap_net_bind_service=+ep' /usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java
$ getcap /usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java
/usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java = cap_net_bind_service+ep
3. 권한 삭제
$ setcap -r //usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java
$ getcap /usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java
반응형
댓글