设置了 `proxy_procgroup` 后, 代理程序的几种启动方法 #233

cattyhouse · 2023-05-25T03:28:08Z

cattyhouse
May 25, 2023

假设设置了 proxy_procgroup='proxy', 这个只是让 iptables 跳过以这个 group 身份运行的代理进程, 但代理进程其实还有其他的东西需要设置, 比如 tproxy 监听 bind any address 权限, 低位端口 (1024及以下)监听, 这些需要 caps, 除非 root 身份运行, 所以能想到的几种方法, ss-redir 为例:

root 运行, 给代理程序二进制设置 SGID

proxy_startcmd='set_proxy_group /usr/local/bin/ss-redir ; ss-redir --args'

普通用户运行, 给代理程序二进制设置 SGID 和 CAPS

proxy_startcmd='set_proxy_group /usr/local/bin/ss-redir && setcap cap_net_bind_service,cap_net_raw+ep /usr/local/bin/ss-redir && su nobody -c "/usr/local/bin/ss-redir --args"'

普通用户运行, systemd.service 启动

User=nobody
Group=proxy
CapabilityBoundingSet=CAP_NET_BIND_SERVICE CAP_NET_RAW
AmbientCapabilities=CAP_NET_BIND_SERVICE CAP_NET_RAW
ExecStart=/usr/local/bin/ss-redir --args

还有其他啥方法吗?

zfl9 · 2023-05-25T04:04:45Z

zfl9
May 25, 2023
Maintainer

应该就这些吧，还有就是程序本身提供了set user/group功能的，比如dnsmasq这种。

0 replies

zfl9 · 2023-05-25T04:13:19Z

zfl9
May 25, 2023
Maintainer

grep -e Uid -e Gid /proc/进程PID/status 可以查看上述方法启动的进程，最终的uid和gid

一行有四个值，分别是：Real, effective, saved_set, filesystem(fs)

iptables 的 --gid-owner 匹配的是 fsgid（通常情况下，fsgid 的值同 effective gid）

如果想查看 cap 能力，可以 grep CapEff /proc/进程PID/status 查看实际有效的能力

全 0 就是没有能力，非 0 就是有能力，具体想看有什么能力，可以解码，或者使用其他工具查看

1 reply

zfl9 May 25, 2023
Maintainer

不论是通过 setgid 权限位，还是 systemd 服务文件配置 uid/gid/cap，还是 su 切换用户/组。最终目的都是：

让 fsgid 变为非 0 (root)，避免放行 root 用户组的流量
让进程有权限执行透明代理、bind特权端口等操作，比如
- eff_uid == 0，也就是传统的 root 用户权限
- eff_uid != 0，但 cap_eff 具有相应能力，比如通过setcap，或者systemd等方式，授予能力

zfl9 · 2023-05-26T03:17:14Z

zfl9
May 26, 2023
Maintainer

还有个方法，就是 sg：

# 解释器是 /bin/sh
sg proxy 'ss-redir <args...>'

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

设置了 `proxy_procgroup` 后, 代理程序的几种启动方法 #233

{{title}}

{{editor}}'s edit

{{editor}}'s edit

Replies: 3 comments 1 reply

{{title}}

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

{{editor}}'s edit

{{editor}}'s edit

{{title}}

Select a reply

设置了 proxy_procgroup 后, 代理程序的几种启动方法 #233

cattyhouse May 25, 2023

Replies: 3 comments · 1 reply

zfl9 May 25, 2023 Maintainer

zfl9 May 25, 2023 Maintainer

zfl9 May 25, 2023 Maintainer

zfl9 May 26, 2023 Maintainer

设置了 `proxy_procgroup` 后, 代理程序的几种启动方法 #233

cattyhouse
May 25, 2023

Replies: 3 comments 1 reply

zfl9
May 25, 2023
Maintainer

zfl9
May 25, 2023
Maintainer

zfl9 May 25, 2023
Maintainer

zfl9
May 26, 2023
Maintainer