Bisakah kemampuan digunakan dalam skrip tanpa mengatur binary interpreter?

Saat ini saya menggunakan cap_net_bind_service MY_USERNAMEdi /etc/security/capability.conf.
Sekarang saya hanya perlu mengatur cap_net_bind_service+ipenerjemah bahasa scripting favorit saya untuk dapat menambahkan CAP_NET_BIND_SERVICEke set efektif melalui libcap [-ng].

Ini berfungsi dengan baik, tapi saya ingin tahu apakah ada cara untuk mencapai hal yang sama tanpa menetapkan batas ke biner interpreter. Meskipun ini bukan masalah besar (akun pengguna lain tidak memiliki batas sehingga mereka tidak dapat menggunakannya bahkan dengan bit yang ditetapkan pada biner interpreter) itu agak menjengkelkan karena saya harus mengatur ulang bendera setiap kali penerjemah tersebut diperbarui.

Biasanya, kemampuan itu diwariskan kepada anak-anak. Sebagaimana dinyatakan dalam manual :

Seorang anak yang dibuat melalui garpu (2) mewarisi salinan set kemampuan orang tuanya.

Masalah dengan skrip adalah mereka tidak langsung dieksekusi. Kernel melewati daftar pemeriksaan (kode kernel terletak di fs / binfmt _ *. C). Salah satunya adalah "binfmt_script.c", yang memeriksa baris pertama untuk shebang, kemudian memanggil penerjemah nyata (yang di shebang) dengan skrip Anda sebagai argumen. Dengan demikian, penerjemah standar / umum dipanggil, dan cukup membaca skrip Anda sebagai argumen.

Ini berarti Anda harus mengatur kapabilitas pada penerjemah, bukan pada skrip. Hal yang sama berlaku untuk suidbit, dan bendera khusus lainnya.

Jadi, apakah Anda membuat salinan juru bahasa Anda, atur kemampuan yang Anda inginkan (juga periksa bahwa tidak ada yang dapat mengaksesnya melalui chmod / chown), dan panggil juru bahasa yang disalin ini di shebang Anda. Anda juga dapat melakukan logika setcap dalam skrip Anda.