设置了 `proxy_procgroup` 后, 代理程序的几种启动方法 #233

cattyhouse · 2023-05-25T03:28:08Z

cattyhouse
May 25, 2023

假设设置了 proxy_procgroup='proxy', 这个只是让 iptables 跳过以这个 group 身份运行的代理进程, 但代理进程其实还有其他的东西需要设置, 比如 tproxy 监听 bind any address 权限, 低位端口 (1024及以下)监听, 这些需要 caps, 除非 root 身份运行, 所以能想到的几种方法, ss-redir 为例:

root 运行, 给代理程序二进制设置 SGID

proxy_startcmd='set_proxy_group /usr/local/bin/ss-redir ; ss-redir --args'

普通用户运行, 给代理程序二进制设置 SGID 和 CAPS

proxy_startcmd='set_proxy_group /usr/local/bin/ss-redir && setcap cap_net_bind_service,cap_net_raw+ep /usr/local/bin/ss-redir && su nobody -c "/usr/local/bin/ss-redir --args"'

普通用户运行, systemd.service 启动

User=nobody
Group=proxy
CapabilityBoundingSet=CAP_NET_BIND_SERVICE CAP_NET_RAW
AmbientCapabilities=CAP_NET_BIND_SERVICE CAP_NET_RAW
ExecStart=/usr/local/bin/ss-redir --args

还有其他啥方法吗?

zfl9 · 2023-05-25T04:04:45Z

zfl9
May 25, 2023
Maintainer

应该就这些吧，还有就是程序本身提供了set user/group功能的，比如dnsmasq这种。

0 replies

zfl9 · 2023-05-25T04:13:19Z

zfl9
May 25, 2023
Maintainer

grep -e Uid -e Gid /proc/进程PID/status 可以查看上述方法启动的进程，最终的uid和gid

一行有四个值，分别是：Real, effective, saved_set, filesystem(fs)

iptables 的 --gid-owner 匹配的是 fsgid（通常情况下，fsgid 的值同 effective gid）

如果想查看 cap 能力，可以 grep CapEff /proc/进程PID/status 查看实际有效的能力

全 0 就是没有能力，非 0 就是有能力，具体想看有什么能力，可以解码，或者使用其他工具查看

1 reply

zfl9 May 25, 2023
Maintainer

不论是通过 setgid 权限位，还是 systemd 服务文件配置 uid/gid/cap，还是 su 切换用户/组。最终目的都是：

让 fsgid 变为非 0 (root)，避免放行 root 用户组的流量
让进程有权限执行透明代理、bind特权端口等操作，比如
- eff_uid == 0，也就是传统的 root 用户权限
- eff_uid != 0，但 cap_eff 具有相应能力，比如通过setcap，或者systemd等方式，授予能力

zfl9 · 2023-05-26T03:17:14Z

zfl9
May 26, 2023
Maintainer

还有个方法，就是 sg：

# 解释器是 /bin/sh
sg proxy 'ss-redir <args...>'

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

设置了 `proxy_procgroup` 后, 代理程序的几种启动方法 #233

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Replies: 3 comments 1 reply

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Uh oh!

{{title}}

Uh oh!

Select a reply

Uh oh!

设置了 proxy_procgroup 后, 代理程序的几种启动方法 #233

Uh oh!

Uh oh!

cattyhouse May 25, 2023

Replies: 3 comments · 1 reply

Uh oh!

zfl9 May 25, 2023 Maintainer

Uh oh!

Uh oh!

zfl9 May 25, 2023 Maintainer

Uh oh!

Uh oh!

zfl9 May 25, 2023 Maintainer

Uh oh!

zfl9 May 26, 2023 Maintainer

设置了 `proxy_procgroup` 后, 代理程序的几种启动方法 #233

cattyhouse
May 25, 2023

Replies: 3 comments 1 reply

zfl9
May 25, 2023
Maintainer

zfl9
May 25, 2023
Maintainer

zfl9 May 25, 2023
Maintainer

zfl9
May 26, 2023
Maintainer