Ограничьте порт отдельным приложением
Можно использовать инструмент под названием SecurAble, который скажет Вам, если Ваш ЦП будет поддерживать Virtualisation Technologies, которая является тем, что необходимо выполнить Гиперпротив Его, то также скажет Вам число битов, поддерживаемых Вашим ЦП и если это поддерживает DEP
Самый легкий способ сделать это на Linux - то, при резервировании блока наверху или нижнего диапазона стандартного эфемерного диапазона портов.
Узнайте то, что Ваш текущий диапазон путем выполнения
cat /proc/sys/net/ipv4/ip_local_port_range
Затем установите его путем повторения чего-то другого в него (и изменения sysctl.conf или подобный, чтобы заставить его произойти на начальной загрузке также). Моя система использует 32768-61000, таким образом, я мог изменить это на 32768-60000 в сочетании с SELinux/AppArmor для резервирования 60001-61000 для моего приложения.
echo "32768 60000" > /proc/sys/net/ipv4/ip_local_port_range
Я не знаю о способе вырезать разрыв посреди эфемерного диапазона.
Взгляните на portreserve утилиту. Но практическая эксплуатация должна попросить, чтобы portreserve выпустил порт, прежде чем сервис сможет использовать его.
-
1Это работает на порты за пределами диапазона что bindresvport () использование (т.е. 0-1023)? Техника могла бы работать в более общем плане хотя, но it' s не совсем, что просил OP (препятствование тому, чтобы ОС выделила порт в данном диапазоне в противоположность запуску чего-то рано к " squat" на диапазоне портов, пока не сказали для выпуска его) – James F 3 July 2009 в 18:52
-
2Я просто протестировал его на 2000/tcp, и это работает. Таким образом, я предполагаю, что это работало бы на любой порт. Это привычка быть очень практичным для резервирования очень больших спектров, но для одного или двух портов тут и там это достаточно хорошо. Лучшая вещь об этом - это являющийся чрезвычайно простым. – Saurabh Barjatiya 3 July 2009 в 20:22
Установите portreserve и затем только Вашу программу, которая запрашивает их через portrelease, может иметь сокеты.