Os recursos podem ser usados ​​em scripts sem definir o binário do interpretador?

Agora eu estou usando cap_net_bind_service MY_USERNAMEno /etc/security/capability.conf.
Agora só preciso definir cap_net_bind_service+io intérprete da minha linguagem de script favorita para poder adicionar CAP_NET_BIND_SERVICEao conjunto efetivo via libcap [-ng].

Isso funciona bem, mas gostaria de saber se existe uma maneira de conseguir a mesma coisa sem definir limites para o binário do intérprete. Embora não seja um grande problema (outras contas de usuário não têm limite, por isso não podem ser usadas mesmo com o bit definido no binário do intérprete), é um pouco irritante, pois tenho que redefinir a flag toda vez que o intérprete é Atualizada.

Geralmente, os recursos são herdados para os filhos. Conforme indicado na página de manual :

Um filho criado via fork (2) herda cópias dos conjuntos de recursos de seus pais.

O problema com os scripts é que eles não são executáveis ​​diretamente. O kernel passa por uma lista de verificações (o código do kernel está localizado em fs / binfmt _ *. C). Um deles é "binfmt_script.c", que verifica a primeira linha em busca de um shebang e, em seguida, chame o intérprete real (aquele no shebang) com seu script como argumento. Como tal, o intérprete padrão / comum é chamado e simplesmente lê seu script como argumento.

Isso significa que você precisará definir o recurso no intérprete, não no script. O mesmo se aplica aos suidbits e outros sinalizadores especiais.

Então, você faz uma cópia do seu intérprete, define os recursos que deseja (também verifique se ninguém pode acessá-lo através do chmod / chown) e chame esse intérprete copiado no seu shebang. Você também pode executar a lógica setcap no seu script.