Могут ли возможности использоваться в сценариях без setcap'а двоичного файла интерпретатора?

Прямо сейчас я использую cap_net_bind_service MY_USERNAMEв /etc/security/capability.conf.
Теперь мне просто нужно установить cap_net_bind_service+iинтерпретатор моего любимого языка сценариев, чтобы иметь возможность добавлять CAP_NET_BIND_SERVICEк эффективному набору через libcap [-ng].

Это прекрасно работает, но мне интересно, есть ли способ достичь того же самого, не устанавливая заглавные буквы для двоичного файла интерпретатора. Хотя это не большая проблема (другие учетные записи пользователей не имеют ограничения, поэтому они не могут использовать его даже с битом, установленным в двоичном файле интерпретатора), это несколько раздражает, так как мне приходится переустанавливать флаг каждый раз, когда интерпретатор обновлено.

Обычно возможности передаются по наследству детям. Как указано в справочной странице :

Дочерний объект, созданный с помощью fork (2), наследует копии наборов возможностей своего родителя.

Проблема со сценариями заключается в том, что они не являются непосредственно исполняемыми файлами. Ядро проходит список проверок (код ядра находится по адресу fs / binfmt _ *. C). Одним из них является «binfmt_script.c», который проверяет первую строку на наличие шебанга, а затем вызывает реальный интерпретатор (тот, что в шебанге) с вашим скриптом в качестве аргумента. Таким образом, вызывается стандартный / общий интерпретатор, который просто читает ваш сценарий в качестве аргумента.

Это означает, что вы должны будете установить возможности интерпретатора, а не сценария. То же самое относится к suidбитам и другим специальным флагам.

Так что либо вы делаете копию своего интерпретатора, устанавливаете нужные вам возможности (также проверяете, что никто не может получить к нему доступ через chmod / chown), и вызываете этот скопированный интерпретатор в своем шебанге. Вы также можете использовать логику setcap в своем скрипте.