我正在尝试启动 BoringTun,setcap以便它能够以非特权方式运行,但仍然能够fmark:
root@67672793823c:/# setcap cap_net_admin+epi /usr/local/sbin/boringtun --foreground wgnet0
fatal error: Invalid argument
usage: setcap [-q] [-v] (-r|-|<caps>) <filename> [ ... (-r|-|<capsN>) <filenameN> ]
Note <filename> must be a regular (non-symlink) file.
手册页似乎不是很有帮助,我找不到允许我使用任意参数执行二进制文件的选项。
如果我删除参数,一切正常,但我需要传递这些参数。
答案1
setcap将给定的功能存储在给定文件的元数据中(作为扩展属性,请参阅Arch 维基详情):
setcap cap_net_admin+epi /usr/local/sbin/boringtun
意味着boringtun此后运行时将具有这些功能:
/usr/local/sbin/boringtun --foreground wgnet0