ความสามารถในการใช้งานในสคริปต์โดยไม่ต้อง setcap'ing ล่ามไบนารี?

ตอนนี้ฉันกำลังใช้cap_net_bind_service MY_USERNAMEใน /etc/security/capability.conf
ตอนนี้ผมก็ต้องชุดcap_net_bind_service+iล่ามภาษาสคริปต์ที่ชื่นชอบเพื่อให้สามารถที่จะเพิ่มCAP_NET_BIND_SERVICEไปที่มีประสิทธิภาพชุดผ่าน libcap [-ng]

ใช้งานได้ดี แต่ฉันสงสัยว่ามีวิธีการที่จะบรรลุสิ่งเดียวกันโดยไม่ต้องตั้งค่าตัวพิมพ์ใหญ่ใด ๆ ให้เป็นล่ามไบนารี ในขณะที่มันไม่ใช่ปัญหาใหญ่ (บัญชีผู้ใช้อื่นไม่มีขีด จำกัด ดังนั้นพวกเขาจึงไม่สามารถใช้งานได้แม้จะมีการตั้งค่าบิตในตัวแปลไบนารี่) มันค่อนข้างน่ารำคาญเนื่องจากฉันต้องตั้งค่าสถานะใหม่ทุกครั้งที่ล่ามเป็น อัปเดต

โดยปกติแล้วความสามารถนั้นได้รับมาจากเด็ก ๆ ตามที่ระบุไว้ในmanpage :

เด็กที่สร้างผ่าน fork (2) สืบทอดสำเนาของชุดความสามารถของผู้ปกครอง

ปัญหาของสคริปต์คือไฟล์เหล่านั้นไม่ใช่ไฟล์เรียกทำงานโดยตรง เคอร์เนลต้องผ่านรายการตรวจสอบ (รหัสเคอร์เนลอยู่ที่ fs / binfmt _ *. c) หนึ่งในนั้นคือ "binfmt_script.c" ที่ตรวจสอบบรรทัดแรกสำหรับ shebang จากนั้นเรียกล่ามตัวจริง (ตัวแปลที่แท้จริงใน shebang) โดยใช้สคริปต์ของคุณเป็นอาร์กิวเมนต์ ดังนั้นจึงมีการเรียกใช้ล่ามมาตรฐาน / ทั่วไปและอ่านสคริปต์ของคุณเป็นอาร์กิวเมนต์

หมายความว่าคุณจะต้องตั้งค่าความสามารถของล่ามไม่ใช่ในสคริปต์ สิ่งเดียวกันนี้ใช้กับsuidบิตและแฟล็กพิเศษอื่น ๆ

ดังนั้นไม่ว่าคุณจะทำสำเนาล่ามของคุณตั้งค่าความสามารถที่คุณต้องการ (เช่นตรวจสอบว่าไม่มีใครสามารถเข้าถึงมันผ่าน chmod / chown) และเรียกล่ามที่คัดลอกมานี้ใน shebang ของคุณ คุณอาจทำตรรกะ setcap ในสคริปต์ของคุณ