cap_net_bind_service

`cap_net_bind_service` 是一个 Linux 内核的安全功能，它允许非特权用户绑定低于1024端口。这个功能通常被网络服务器程序使用，以便它们可以监听 TCP/IP 端口，而无需以 root 用户身份运行。在启用了 `cap_net_bind_service` 的情况下，服务器程序可以在绑定端口之后，放弃 root 权限，降低了攻击者利用系统漏洞的风险。

相关问题

java libjli.so_解决setcap导致Java加载libjli.so 失败问题

当使用setcap命令为Java程序添加网络权限时，可能会导致Java加载libjli.so失败的问题。这是因为setcap命令会修改libjli.so文件的权限，而Java程序需要以root权限来加载该文件。

要解决这个问题，可以尝试以下两种方法：

1. 在setcap命令中添加--no-dynamic-linker选项，禁用动态链接器。这样可以避免setcap修改libjli.so文件的权限。

例如，使用以下命令为Java程序添加网络权限：

sudo setcap 'cap_net_bind_service=+ep --no-dynamic-linker' /path/to/java

2. 将libjli.so文件的权限修改为root用户所有，并且设置setuid标志，使得Java程序可以以root权限来加载该文件。

例如，使用以下命令修改libjli.so文件的权限：

sudo chown root:root /path/to/libjli.so
sudo chmod 4755 /path/to/libjli.so

这样就可以解决Java加载libjli.so失败的问题了。

linux minio设置开机自启

在Linux中，可以通过systemd来设置MinIO开机自启。具体步骤如下：

1. 创建MinIO服务文件：在`/etc/systemd/system/`目录下创建一个名为`minio.service`的文件，并将以下内容复制到文件中：

[Unit]
Description=MinIO
Documentation=https://docs.min.io
Wants=network-online.target
After=network-online.target

[Service]
WorkingDirectory=/usr/local/
User=root
Group=root
PermissionsStartOnly=true
EnvironmentFile=-/etc/default/minio
ExecStartPre=/bin/bash -c "if [ -z \"${MINIO_VOLUMES}\" ]; then echo \"Variable MINIO_VOLUMES not set in /etc/default/minio\"; exit 1; fi"
ExecStart=/usr/local/bin/minio server $MINIO_OPTS $MINIO_VOLUMES
StandardOutput=journal+console
StandardError=journal+console
LimitNOFILE=65536
LimitNPROC=16384
CapabilityBoundingSet=CAP_SYS_ADMIN CAP_DAC_OVERRIDE CAP_NET_ADMIN CAP_IPC_LOCK CAP_SYS_RESOURCE CAP_SYS_CHROOT CAP_SETGID CAP_SETUID CAP_SYS_PTRACE CAP_SYS_BOOT CAP_AUDIT_WRITE CAP_AUDIT_CONTROL CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

2. 启动MinIO服务：使用以下命令启动MinIO服务：

systemctl start minio.service

3. 设置MinIO服务开机自启：使用以下命令设置MinIO服务开机自启：

systemctl enable minio.service

现在，MinIO服务已经设置为开机自启动。如果需要停止MinIO服务，可以使用以下命令：

systemctl stop minio.service

如果需要查看MinIO服务的状态，可以使用以下命令：

systemctl status minio.service