问题描述
上下文
我已经完成了一个使用带有 JNI 的 C 库的 Java 库。
C 库在 linux 中被编译成一个 .so
文件。此库需要 cap_net_raw
capabilities。
目标
执行一个java进程没有额外的权限,使用上述java库。将要使用该库的实际进程是已经在生产中的现有进程,我们不想给它们更多权限。
为了测试它,我创建了一个 jar
并在使用和不使用 sudo
的情况下运行它。正如预期的那样,它成功了,但没有它就失败了。
重现测试的步骤
- 使用本机方法创建一个java类,我们称之为
SocketTester.java
static {
System.loadLibrary("SocketTester");
}
private native int socketTest();
- 使用命令生成
socketTester.h
文件
javac -h . SocketTester.java
- 创建实现
socketTester.c
且需要socketTester.h
功能的cap_net_raw
文件 - 编译
gcc -o libSocketTester.so socketTester.c -shared -I/usr/lib/jvm/java-14-openjdk-amd64/include -I/usr/lib/jvm/java-14-openjdk-amd64/include/linux
- 将
libSocketTester.so
移动到 /usr/lib - 运行
sudo ldconfig
- 设置上限
cd /usr/lib
sudo setcap cap_net_raw=epi libSocketTester.so
- 创建一个
Test.java
类
public static void main(final String[] args) {
SocketTester tester = new SocketTester();
tester.socketTest();
}
- 用
SocketTester.java
和Test.java
创建一个 jar - 运行测试
java -cp socketTester.jar Test
我已经尝试过的
为 .so
库添加上限
sudo setcap cap_net_raw=epi libSocketTester.so
结果:失败
为java添加上限
sudo setcap cap_net_raw=epi /usr/lib/jvm/java-14-openjdk-amd64/bin/java
结果:它有效,但这不是我想要的,因为现在所有的 java 进程都有能力(见目标部分的粗体)。
问题
为什么将上限添加到 .so
不起作用?我还能如何实现目标?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)