nftables citesc contoarele ca utilizator non-root

Am configurat câteva reguli de firewall folosind nftables. Acestea includ câteva contoare de date pentru anumite tipuri de trafic pe care sunt interesat să le monitorizez.

Acum, aș dori să pot avea o aplicație să citească acele contoare, în mod ideal folosind libnftnl, rulând ca utilizator non-root. Dar, testarea inițială cu nft indică faptul că nu pot citi contoarele nftables ca utilizator non-root.

Ca rădăcină:

$ nft list counter my_table my_counter
table ip my_table {
    counter my_counter {
        pachete 123 octeți 12345
    }
}

Ca non-root:

$ nft list counter my_table my_counter
Eroare: Nu există un astfel de fișier sau director
list counter my_table my_counter
             ^^^^^^^^^

Există vreo modalitate de a citi contoarele nftables ca utilizator non-root? Poate dacă unii capabilități Linux este setat?

Dacă doriți o configurație mai limitată. Poate folosiți sudo. Puteți seta o regulă care permite doar o singură comandă.

craig_mcqueen ALL = NOPASSWD: /usr/sbin/nft list counter my_table my_counter

Se pare că este capabil să fie Linux CAP_NET_ADMIN permite citirea contorului.

De exemplu, porniți un shell pentru un utilizator non-root, cu CAP_NET_ADMIN:

capsh --caps="cap_net_admin+eip cap_setpcap,cap_setuid,cap_setgid+ep" --keep=1 --user=myuser --adddamb=cap_net_admin -- -c "sh"

Din coaja aceea, /usr/sbin/nft list counter my_table my_counter rulează cu succes.

Dar, permite și alte lucruri, cum ar fi modificarea regulilor firewall-ului, adăugarea de contoare noi sau ștergerea contoarelor existente.