Können Funktionen in Skripten verwendet werden, ohne die Interpreter-Binärdatei zu setzen?

Im Moment benutze ich cap_net_bind_service MY_USERNAMEin /etc/security/capability.conf.
Jetzt muss ich nur noch cap_net_bind_service+iden Interpreter meiner bevorzugten Skriptsprache einstellen , um CAP_NET_BIND_SERVICEden effektiven Satz über libcap [-ng] erweitern zu können.

Dies funktioniert einwandfrei, aber ich frage mich, ob es eine Möglichkeit gibt, dasselbe zu erreichen, ohne dass für die Interpreter-Binärdatei Großbuchstaben festgelegt werden. Es ist zwar kein großes Problem (andere Benutzerkonten haben keine Obergrenze, sodass sie diese nicht verwenden können, selbst wenn das Bit in der Interpreter-Binärdatei gesetzt ist), aber es ist etwas ärgerlich, da ich das Flag jedes Mal neu setzen muss, wenn der Interpreter aktiviert ist Aktualisiert.

Normalerweise werden die Fähigkeiten an die Kinder vererbt. Wie in der Manpage angegeben :

Ein über fork (2) erstelltes Kind erbt Kopien der Fähigkeiten seiner Eltern.

Das Problem mit den Skripten ist, dass sie nicht direkt ausführbar sind. Der Kernel durchläuft eine Liste von Überprüfungen (der Kernel-Code befindet sich unter fs / binfmt _ *. C). Eines davon ist "binfmt_script.c", das die erste Zeile auf einen Shebang überprüft und dann den echten Interpreter (den im Shebang) mit Ihrem Skript als Argument aufruft. Daher wird der Standard- / Common-Interpreter aufgerufen und liest Ihr Skript einfach als Argument.

Dies bedeutet, dass Sie die Funktion nicht im Skript, sondern im Interpreter festlegen müssen. Dasselbe gilt für suidBits und andere spezielle Flags.

Also machen Sie entweder eine Kopie Ihres Dolmetschers, stellen Sie die gewünschten Funktionen ein (stellen Sie auch sicher, dass niemand über chmod / chown darauf zugreifen kann) und rufen Sie diesen kopierten Dolmetscher in Ihrem shebang auf. Sie können auch die setcap-Logik in Ihrem Skript ausführen.