Hat
译者
第一章·第四节 特权用户
⚠️ 注意
如果您发现了错误,欢迎 参与贡献。
📖 本节目录
💡 摘要 (Powered by OpenAI)
本文介绍了关于 BIRD 特权用户的相关内容,包括为什么需要特权、如何使用特权、以及配置特权用户的最佳实践,还提供了更多高级操作,如在权限受限的容器中运行 BIRD。
为什么需要 “特权”?
作为路由守护进程,BIRD 需要诸如配置路由表、创建 Unix Socket (套接字)、绑定端口等操作初始化服务。
初始化服务后,BIRD 就不再需要这些 “特权” 了,为了防止安全漏洞,BIRD 会放弃这些 “特权”。
最佳实践
⚠️ 注意
- 本节内容仅适用于 Linux 系统,移植至 BSD 系统的 BIRD 没有实现权限限制功能。
- 配置文件是在取消特权后读取的,因此配置文件必须位于普通用户也可读取的目录中。
为了安全起见,建议启动 BIRD 时加入 -u / -g 参数,这样 BIRD 就会以非特权用户/组的身份运行最小权限。
指定的非特权 用户/组 建议使用专用的 用户/组 名,例如 bird。
💡 小贴士
有意思的是,同一组中的用户都可以使用 birdc 控制 BIRD。
更多高玩操作
最后,你还可以使用权限受限的容器 (如 Sandbox、Docker) 中运行 BIRD。
这可能需要一些基础,但一般来说不会很难,启动 BIRD 只需要:
- 基本的操作环境
- 读取配置文件、创建 Unix Socket 以及 CAP_NET_* 的权限。
- 一双勤劳的手
Enjoy it!
本文译者及原文信息
展开原文属性
原文作者: <Ondrej Filip>, <Martin Mares>, <Maria Matejka>, <Ondrej Zajicek>
原文链接: https://bird.network.cz/?get_doc&v=20&f=bird-1.html#ss1.3
原文标题: 1.4 Privileges
展开译文属性
遵循协议: CC BY-NC-SA 4.0
译者: hat
翻译时间: 2023-11-14
更新时间: 2024-09-16
本文链接: https://bird.xmsl.dev/docs/user-guide/1-4-privileges.html