Linux:network:socket:ip_unprivileged_port_start CAP_NET_BIND_SERVICE; errno 13

已于 2023-11-15 07:57:41 修改
阅读量554 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络 文章标签: linux tcp/ip 特权port
于 2023-09-20 20:16:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36428903/article/details/133098586
网络 专栏收录该内容
234 篇文章 ¥59.90 ¥99.00
订阅专栏
Linux系统中,低于ip_unprivileged_port_start(默认1024)的端口被视为特权端口,需要root权限或CAP_NET_BIND_SERVICE能力才能绑定。若要让非root应用绑定这些端口,可通过setcap赋予相应能力。当bind到如443端口失败时,可能与此限制有关。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ip_unprivileged_port_start - INTEGER
这个参数定义了,从哪一个port开始是非特权可以使用的port。而特权的port,需要root用户使用,或者需要权限:CAP_NET_BIND_SERVICE 。如果设置为0,就是没有特权port。
This is a per-namespace sysctl. It defines the first unprivileged port in the network namespace. Privileged ports require root or CAP_NET_BIND_SERVICE in order to bind to them. To disable all privileged ports, set this to 0. It may not overlap with the ip_local_reserved_ports range.
默认值: 1024

使用的代码:

int __inet_bind(struct sock *sk,
了解本专栏 订阅专栏 解锁全文
socket-----13
mangguoyang的博客
03-12 381
                 网络编程:实现计算机与计算机的通信TCP:可靠,有状态的,长连接的协议,像打电话一样。UDP:不可靠,无连接,向发短信一样,发送的包的顺序要有编号。HTTP:基于TCP协议,无状态的协议。FTP:文件传输协议。POP3:邮局协议版,是TCP IP协议族中的一员。SMTP:简单邮件传输协议。网络七层协议:物理层:建立 维护 断开 物理连接数据链路层:硬件寻址网络层:...
tcp(7) — Linux Programmer‘s Manual
Java程序员的知识博客
07-15 969
linux tcp编程手册
安卓JNI中用socket崩溃出错,错误代码13,用errno解析结果
里昂的博客
06-24 3070
安卓jni中写一个socket连接但是一直创建不成功返回-1,然后用打印出错句柄,用<errno.h>头文件,在代码中加入errno if(UDP_DataSocket = socket(AF_INET, SOCK_DGRAM, 0) == -1) //create data packag socket { LOGD("socket创建出...
Failed to create a socket for IPv4 ‘0.0.0.0‘: errno: 13
qq_45704640的博客
02-18 1929
Failed to create a socket for IPv4 ‘0.0.0.0’: errno: 13 这是我在部署linuxDeploy里面宝塔面板的mysql的时候出现的 经过查阅网上的贴子,于一位大神处找到了正解,在此分享给大家, 大神说 是因为网络权限不足,给mysql用户添加权限就行了 命令: sudo usermod -a -G aid_inet,aid_net_raw mysql ...
python socket模块[errno 113_Python socket.error:[Errno 13]权限被拒绝
weixin_39939510的博客
12-20 414
Using Linux and Python, I want to send some data with broadcast:d = b'109u433279423423423'import sockets = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)s.sendto(d, 0, ('192.168.0.255', 9))I launch ...
setcap CAP_NET_BIND_SERVICE非root用户运行程序监听低于 1024 的端口
allway2的博客
03-04 5566
今天我学到了一些新的东西,我想和你分享。我知道监听低于 1024 的端口需要特殊权限,要做到这一点,你必须是sudoers。但是使用 sudo 运行应用程序并不是一种完美的方式,因为这样应用程序几乎可以对您的操作系统执行任何操作,从而导致意外结果(您肯定不希望应用程序通过rm -rf删除所有文件)。 想象一下,你编写了一个 Golang http 服务器,并希望它监听 80 端口。要授予此权限,你可以在 unix/linux 系统上使用setcap命令: sudo setcap cap_net_bin
Error: Cannot open an HTTP server: socket.error reported errno.EACCES (13)
yfanjy的博客
11-02 4917
有两种可能: 方式一 就是由于上面的配置文件中 /var/run 文件夹,没有授予启动 supervisord 的用户 oxygen 的写权限。/var/run 文件夹实际上是链接到 /run,因此我们修改 /run 的权限。 sudo chmod 777 /run 方式二 仔细检查file与fidfile的路径: 除了supervisord.pid 和supervisor.sock会自动创建之外, 它们的父级目录必须已存在;如果未存在,就手动创建父级目录. mkdir 目录名称 ...
在apache环境中使用 python stock 请求遇到error: [Errno 13] Permission denied
STEELY CHEN的专栏
08-06 2806
一个python 项目运行在linux 环境下,使用apache做为web容器。 调用urllib2.urlopen(your url) 或者 xmlrpclib.ServerProxy()请求某个服务的时候报error: [Errno 13] Permission denied 异常。 这是一个头痛的问题,其实提示也比较清楚,就是权限不够。可是什么权限不够呢, 项目目录我都赋给apache
深入理解nginx读书笔记---初识nginx
qq_36713450的博客
12-06 855
Why nginx? 1、更快 一方面,正常情况下,单次请求会得到更快的响应;另一方面,在高峰期nginx会比其他代理响应更迅速。 2、高扩展性 Nginx的设计极具扩展性,它完全是由多个不同功能、不同层次、不同类型且耦合度极低的模块组成。低耦合的特点造就了nginx大量的第三方模块,且都是通过嵌入到二进制文件中执行的,都具备优秀的性能。 3、高可靠性 依赖于nginx核心代码的优秀设计、模块设计的简单性;每一个worker进程都相对独立,出错后可以马上另外拉起一个。 4、低内存消耗 一般情
K8S应用服务安全(最小特权 策略方案 资源限制 调用限制 沙箱)
m0_46690280的博客
07-10 1975
学习目标这一节,我们从 场景解读、细节解读、小结 三个方面来学习。场景解读简介虽然我们可以借助于RBAC + PSP + 安全上下文 能够实现相当层次的pod应用安全(包括对特权容器、主机网络、Capability、加载卷类型等内容进行限制) ,但是这套方案有以下限制:1 PSP 在1 . 21版本就被弃用,在1 . 25版本被删除 -- 整合进准入控制器2 PSP 仅仅支持Pod级别的策略3 方案使用起来很复杂,而且操作的技术门槛较高,容易引起很大的漏洞。
linux 允许非 root 用户使用 1024 以下端口
Helphi的博客
04-24 3199
linux 允许非 root 用户默认只能使用 1024 以上端口,sysctl 指令可以修改该起始端口。 #允许非root用户使用所有端口 sudo sysctl net.ipv4.ip_unprivileged_port_start=0 ...
podman无根环境中的基本设置和使用和卷
m0_62469712的博客
08-16 687
用户操作在允许没有root特权的用户运行Podman之前,管理员必须安装或构建Podman并完成以下配置cgroup V2Linux内核功能允许用户限制普通用户容器可以使用的资源,如果使用cgroupV2启用了运行Podman的Linux发行版,则可能需要更改默认的OCI运行时。某些较旧的版本runc不适用于cgroupV2,必须切换到备用OCI运行时crun。安装slirp4netns和fuse-overlayfs。......
Linux服务器启动80端口:prmission denied
如渊的博客
11-26 1218
4]. Huang Huang 的博客 . net.ipv4.ip_local_port_range 的值究竟影响了啥 . 2019.05 . https://mozillazg.com/2019/05/linux-what-net.ipv4.ip_local_port_range-effect-or-mean.html。在TCP协议中,通信双方需要各自打开1个端口,然后在这个端口上通过3次握手建立连接,连接建立后双方将会保持端口的占用,直到连接断开,如果端口耗尽后,就会拒绝连接。(例如80、443)
解决 Ubuntu 16.04.4普通用户无法监听udp 443
Kason_iWiki
09-14 2511
linux对于非root权限用户不能使用1024以下的端口,对于一些服务,过高的权限,会带来一定的风险。(例如80、443)方案:设置port_startlinux 允许非 root 用户默认只能使用 1024 以上端口,sysctl 可以修改该起始端口。
podman
itxiaoyu_lang的博客
08-12 1216
podmanPodman简介Podman工作机制Podman与Docker的区别podman和Docker的主要区别是什么?podman的使用与docker有什么区别?部署Podman Podman简介 Podman是一个开源项目,可在大多数Linux平台上使用并开源在GitHub上。Podman是一个无守护进程的容器引擎,用于在Linux系统上开发,管理和运行Open Container Initiative(OCI)容器和容器镜像。 Podman提供了一个与Docker兼容的命令行前端,它可以简单地作为
Linux 普通用户bind 80端口
Andy Tools
08-04 2829
文章目录1 使用nginx 做反向代理2 Linux能力-CAP_NET_BIND_SERVICE2.1 Linux 能力概念2.2 测试及赋予能力 linux对于非root权限用户不能使用1024以下的端口,那普通用户该如何将应用服务通过80端口对外提供服务呢 1 使用nginx 做反向代理 常规操作,一般应用服务器不会直接暴露在公网,而是使用nginx 做方向代理,将访问服务器80端的请求转发到具体应用服务器的监听的端口 server { listen 80; server_name
Centos/Linux socket.error: [Errno 13] Permission denied
Xiao_Bai_Ke的博客
01-06 2176
错误如下图所示: 解决方案: 关闭 防火墙(服务器 以及 客户端): service iptablesstop service ip6tablesstop
linux普通用户监听1024以下的端口(80、443)
zzhongcy的专栏
05-06 8630
最近为了安全,不打算让Nginx以root权限启动,网上查了查资料,这里整理一下分享给大家 1、介绍 linux对于非root权限用户不能使用1024以下的端口,对于一些服务,过高的权限,会带来一定的风险。那么对于低权限的用户如何对外开放1024以下的端口。我这里找到几种办法并且亲测可行 首先搭建环境 centos7 账户 tengine 没有 sudo 权限。 2、nginx进程属主 关于nginx进程属主的问题总结如下: 2.1 规则 nginx启动进程可以在conf里指定user(use
Error: listen tcp 0.0.0.0:11438: bind: Only one usage of each socket address (protocol/network address/port) is normally permitted.
最新发布
02-27
### 解决TCP端口绑定错误 当遇到TCP端口绑定错误(`only one usage of each socket address`),通常是因为尝试在同一地址和端口号上创建多个监听套接字。这违反了TCP协议的规定,即每个套接字地址(IP地址加端口号)在同一时间只能被一个进程占用。 #### 原因分析 1. **TIME-WAIT状态**:即使应用程序认为连接已经关闭,在内核层面,该连接可能仍处于TIME-WAIT状态。这意味着虽然从应用层看似乎可以重用此端口,但实际上直到TIME-WAIT计时期满之前都不能这样做[^2]。 2. **特权端口限制**:如果使用的端口号小于ip_unprivileged_port_start,则需要root权限或CAP_NET_BIND_SERVICE能力才能成功绑定到这些端口。可以通过调整sysctl参数来改变这一行为[^1]。 #### 解决策略 为了防止此类问题的发生并找到解决方案: - 使用SO_REUSEADDR选项可以让新的服务器立即接管旧的服务位置而无需等待自然超时结束。需要注意的是,这种方法可能会带来一些风险,比如潜在的安全隐患以及处理未完全终止的连接数据包的能力减弱等问题。 ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <arpa/inet.h> int main() { int server_fd; struct sockaddr_in address; // 创建socket文件描述符 if ((server_fd = socket(AF_INET, SOCK_STREAM, 0)) == 0) { perror("Socket creation failed"); exit(EXIT_FAILURE); } int opt = 1; // 设置SO_REUSEADDR标志位 if (setsockopt(server_fd, SOL_SOCKET, SO_REUSEADDR | SO_REUSEPORT, &opt, sizeof(opt))) { perror("Setsockopt failed"); close(server_fd); exit(EXIT_FAILURE); } address.sin_family = AF_INET; address.sin_addr.s_addr = INADDR_ANY; address.sin_port = htons(8080); // 绑定socket至指定地址与端口 if (bind(server_fd, (struct sockaddr *)&address, sizeof(address))<0) { perror("Bind failed"); close(server_fd); exit(EXIT_FAILURE); } printf("Server started\n"); listen(server_fd, 3); while(1){ accept(server_fd, NULL ,NULL ); } return 0; } ``` 上述代码展示了如何通过设置`SO_REUSEADDR`选项允许快速重启服务而不必担心TIME_WAIT状态下残留连接的影响。 #### 配置系统参数 对于特权端口的问题,可以根据实际情况考虑修改系统的配置项`ip_unprivileged_port_start`以适应特定需求。例如将其设为较低值甚至零从而取消所有特权端口的要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mzhan017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值