上下文

我已经完成了一个使用带有 JNI 的 C 库的 Java 库。 C 库在 linux 中被编译成一个 .so 文件。此库需要 cap_net_raw capabilities。

目标

执行一个java进程没有额外的权限，使用上述java库。将要使用该库的实际进程是已经在生产中的现有进程，我们不想给它们更多权限。

为了测试它，我创建了一个 jar 并在使用和不使用 sudo 的情况下运行它。正如预期的那样，它成功了，但没有它就失败了。

重现测试的步骤

1. 使用本机方法创建一个java类，我们称之为SocketTester.java

static {
    System.loadLibrary("SocketTester");
}
private native int socketTest();

2. 使用命令生成 socketTester.h 文件

javac -h . SocketTester.java

3. 创建实现 socketTester.c 且需要 socketTester.h 功能的 cap_net_raw 文件
4. 编译

gcc -o libSocketTester.so socketTester.c -shared -I/usr/lib/jvm/java-14-openjdk-amd64/include -I/usr/lib/jvm/java-14-openjdk-amd64/include/linux

5. 将 libSocketTester.so 移动到 /usr/lib
6. 运行

sudo ldconfig

7. 设置上限

cd /usr/lib
sudo setcap cap_net_raw=epi libSocketTester.so

8. 创建一个 Test.java 类

public static void main(final String[] args) {
    SocketTester tester = new SocketTester();
    tester.socketTest();
}

9. 用 SocketTester.java 和 Test.java 创建一个 jar
10. 运行测试

java -cp socketTester.jar Test

我已经尝试过的

为 .so 库添加上限

sudo setcap cap_net_raw=epi libSocketTester.so

结果：失败

为java添加上限

sudo setcap cap_net_raw=epi /usr/lib/jvm/java-14-openjdk-amd64/bin/java

结果：它有效，但这不是我想要的，因为现在所有的 java 进程都有能力（见目标部分的粗体）。

问题

为什么将上限添加到 .so 不起作用？我还能如何实现目标？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）