如何解决如何向本机库添加功能而不是向运行它的可执行文件添加功能? 重现测试的步骤为 .so 库添加上限为java添加上限
上下文
我已经完成了一个使用带有 JNI 的 C 库的 Java 库。
C 库在 linux 中被编译成一个 .so
文件。此库需要 cap_net_raw
capabilities。
目标
执行一个java进程没有额外的权限,使用上述java库。将要使用该库的实际进程是已经在生产中的现有进程,我们不想给它们更多权限。
为了测试它,我创建了一个 jar
并在使用和不使用 sudo
的情况下运行它。正如预期的那样,它成功了,但没有它就失败了。
重现测试的步骤
- 使用本机方法创建一个java类,我们称之为
SocketTester.java
static {
System.loadLibrary("SocketTester");
}
private native int socketTest();
- 使用命令生成
socketTester.h
文件
javac -h . SocketTester.java
- 创建实现
socketTester.c
且需要socketTester.h
功能的cap_net_raw
文件 - 编译
gcc -o libSocketTester.so socketTester.c -shared -I/usr/lib/jvm/java-14-openjdk-amd64/include -I/usr/lib/jvm/java-14-openjdk-amd64/include/linux
- 将
libSocketTester.so
移动到 /usr/lib - 运行
sudo ldconfig
- 设置上限
cd /usr/lib
sudo setcap cap_net_raw=epi libSocketTester.so
- 创建一个
Test.java
类
public static void main(final String[] args) {
SocketTester tester = new SocketTester();
tester.socketTest();
}
- 用
SocketTester.java
和Test.java
创建一个 jar - 运行测试
java -cp socketTester.jar Test
我已经尝试过的
为 .so
库添加上限
sudo setcap cap_net_raw=epi libSocketTester.so
结果:失败
为java添加上限
sudo setcap cap_net_raw=epi /usr/lib/jvm/java-14-openjdk-amd64/bin/java
结果:它有效,但这不是我想要的,因为现在所有的 java 进程都有能力(见目标部分的粗体)。
问题
为什么将上限添加到 .so
不起作用?我还能如何实现目标?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。