nftables đọc bộ đếm với tư cách là người dùng không phải root

Tôi đã thiết lập một số quy tắc tường lửa bằng nftables. Chúng bao gồm một số bộ đếm dữ liệu cho một số loại lưu lượng truy cập mà tôi muốn theo dõi.

Bây giờ, tôi muốn có thể có một ứng dụng đọc các bộ đếm đó, lý tưởng nhất là sử dụng libnftnl, đang chạy với tư cách người dùng không phải root. Nhưng, thử nghiệm ban đầu với nft chỉ ra rằng tôi không thể đọc bộ đếm nftables với tư cách là người dùng không phải root.

Là gốc:

bộ đếm danh sách $ nft my_table my_counter
bảng ip my_table {
    truy cập my_counter {
        gói 123 byte 12345
    }
}

Là người không root:

bộ đếm danh sách $ nft my_table my_counter
Lỗi: Không có tệp hoặc thư mục như vậy
bộ đếm danh sách my_table my_counter
             ^^^^^^^^

Có cách nào để đọc bộ đếm nftables với tư cách là người dùng không phải root không? Có lẽ nếu một số Khả năng của Linux được thiết lập?

Nếu bạn muốn một cấu hình hạn chế hơn. Có thể sử dụng sudo. Bạn có thể đặt quy tắc chỉ cho phép một lệnh duy nhất.

craig_mcqueen TẤT CẢ = NOPASSWD: /usr/sbin/nft bộ đếm danh sách my_table my_counter

Có vẻ như khả năng của Linux CAP_NET_ADMIN cho phép đọc bộ đếm.

Ví dụ: khởi động Shell cho người dùng không phải root, với CAP_NET_ADMIN:

capsh --caps="cap_net_admin+eip cap_setpcap,cap_setuid,cap_setgid+ep" --keep=1 --user=myuser --addamb=cap_net_admin -- -c "sh"

Từ lớp vỏ đó, /usr/sbin/nft bộ đếm danh sách my_table my_counter chạy thành công.

Tuy nhiên, nó cũng cho phép thực hiện những việc khác, chẳng hạn như thay đổi quy tắc tường lửa, thêm bộ đếm mới hoặc xóa bộ đếm hiện có.