相关疑难解决方法(0)

在我的开发盒上有这个限制是非常烦人的,因为除了我之外不会有任何用户.

我知道标准的解决方法,但它们都没有完全符合我的要求:

1. authbind(Debian测试中的版本,1.0,仅支持IPv4)
2. 使用iptables REDIRECT目标将低端口重定向到高端口(对于ip6tables,iptables的IPv6版本尚未实现"nat"表)
3. sudo(以root身份运行是我想避免的)
4. SELinux(或类似).(这只是我的开发盒,我不想引入很多额外的复杂性.)

是否有一些简单的sysctl变量允许非root进程绑定到Linux上的"特权"端口(端口小于1024),或者我只是运气不好？

编辑:在某些情况下,您可以使用功能来执行此操作.

我在 Docker 容器中运行 Nginx，出于安全原因，我希望尽可能多地删除 Linux 功能。

然后我可以放弃哪些能力？

该镜像类似于此处的标准 Docker Nginx Alpine 镜像：https : //github.com/nginxinc/docker-nginx/blob/0c7611139f2ce7c​​5a6b1febbfd5b436c8c7d2d53/mainline/alpine/Dockerfile，它以 root 身份启动 Nginx，然后以 root 身份运行工作进程用户'nginx'，看：

root@instance-1:/opt/ed# docker-compose exec web bash
bash-4.3# # Now we're inside the container.
bash-4.3# ps aux
PID   USER     TIME   COMMAND
    1 root       0:00 /bin/sh -c /etc/nginx/run-envsubst.sh && nginx
   10 root       0:00 nginx: master process nginx
   11 nginx      0:00 nginx: worker process
   12 nginx      0:00 nginx: cache manager process
   14 root       0:00 bash
   18 root       0:00 ps aux

侦听端口 80 和 …