github-starred/frp
2
0
Fork 0
mirror of https://github.com/fatedier/frp.git synced 2026-05-15 16:15:49 -06:00
Code Issues 40 Projects Packages Wiki Activity Actions 1

[GH-ISSUE #1493] frp的frps.service配置的User=nobody绑定不了某些端口 #1179

New issue
Closed
opened 2026-05-05 12:45:25 -06:00 by gitea-mirror · 14 comments
gitea-mirror commented 2026-05-05 12:45:25 -06:00
Owner
Copy link

Originally created by @ju0594 on GitHub (Nov 2, 2019).
Original GitHub issue: https://github.com/fatedier/frp/issues/1493

Issue is only used for submiting bug report and documents typo. If there are same issues or answers can be found in documents, we will close it directly.
(为了节约时间,提高处理问题的效率,不按照格式填写的 issue 将会直接关闭。)
(请不要在 issue 评论中出现无意义的 加1我也是 等内容,将会被直接删除。)
(由于个人精力有限,和系统环境,网络环境等相关的求助问题请转至其他论坛或社交平台。)

Use the commands below to provide key information from your environment:
You do NOT have to include this information if this is a FEATURE REQUEST

What version of frp are you using (./frpc -v or ./frps -v)?
0.29.0

What operating system and processor architecture are you using (go env)?

Configures you used:

Steps to reproduce the issue:
1.复制frps.service到/etc/systemd/system
2.在/etc/frp/frps.ini 填写比如 vhost_https_port = 443
3.使用systemctl start frps启动 发现启动失败

Describe the results you received:
使用 systemctl status frps -l 显示

● frps.service - Frp Server Service
   Loaded: loaded (/etc/systemd/system/frps.service; disabled)
   Active: activating (auto-restart) (Result: exit-code) since Fri 2019-11-01 23:58:02 EDT; 2s ago
  Process: 2085 ExecStart=/usr/bin/frps -c /etc/frp/frps.ini (code=exited, status=1/FAILURE)
 Main PID: 2085 (code=exited, status=1/FAILURE)

Describe the results you expected:

Additional information you deem important (e.g. issue happens only occasionally):

Can you point out what caused this issue (optional)
使用User=nobody的时候,只能绑定一些高位端口,443之类的端口都不能绑定,netstat -ntulp |grep 443发现并没有被别的软件占用。
但是把User=nobody注释掉使用root用户就没问题了,很奇怪,不知道为啥。

Originally created by @ju0594 on GitHub (Nov 2, 2019). Original GitHub issue: https://github.com/fatedier/frp/issues/1493 Issue is only used for submiting bug report and documents typo. If there are same issues or answers can be found in documents, we will close it directly. (为了节约时间,提高处理问题的效率,不按照格式填写的 issue 将会直接关闭。) (请不要在 issue 评论中出现无意义的 **加1**,**我也是** 等内容,将会被直接删除。) (由于个人精力有限,和系统环境,网络环境等相关的求助问题请转至其他论坛或社交平台。) Use the commands below to provide key information from your environment: You do NOT have to include this information if this is a FEATURE REQUEST **What version of frp are you using (./frpc -v or ./frps -v)?** 0.29.0 **What operating system and processor architecture are you using (`go env`)?** **Configures you used:** **Steps to reproduce the issue:** 1.复制frps.service到/etc/systemd/system 2.在/etc/frp/frps.ini 填写比如 vhost_https_port = 443 3.使用`systemctl start frps`启动 发现启动失败 **Describe the results you received:** 使用 `systemctl status frps -l` 显示 ``` ● frps.service - Frp Server Service Loaded: loaded (/etc/systemd/system/frps.service; disabled) Active: activating (auto-restart) (Result: exit-code) since Fri 2019-11-01 23:58:02 EDT; 2s ago Process: 2085 ExecStart=/usr/bin/frps -c /etc/frp/frps.ini (code=exited, status=1/FAILURE) Main PID: 2085 (code=exited, status=1/FAILURE) ``` **Describe the results you expected:** **Additional information you deem important (e.g. issue happens only occasionally):** **Can you point out what caused this issue (optional)** 使用User=nobody的时候,只能绑定一些高位端口,443之类的端口都不能绑定,`netstat -ntulp |grep 443`发现并没有被别的软件占用。 但是把User=nobody注释掉使用root用户就没问题了,很奇怪,不知道为啥。
gitea-mirror commented 2026-05-05 12:45:28 -06:00
Author
Owner
Copy link

@deadlineOvO commented on GitHub (Nov 2, 2019):

正常现象

<!-- gh-comment-id:549009110 --> @deadlineOvO commented on GitHub (Nov 2, 2019): 正常现象
gitea-mirror commented 2026-05-05 12:45:29 -06:00
Author
Owner
Copy link

@xqzr commented on GitHub (Nov 2, 2019):

这是系统限制

<!-- gh-comment-id:549012178 --> @xqzr commented on GitHub (Nov 2, 2019): 这是系统限制
gitea-mirror commented 2026-05-05 12:45:30 -06:00
Author
Owner
Copy link

@ysc3839 commented on GitHub (Nov 2, 2019):

许多 Unix 系统会限制只有 root 用户才能绑定一些端口。而且这种限制很可能是写死的,也就是说没办法设置“允许某用户组绑定端口”。这种情况下只能先以 root 用户启动,绑定端口后再用 setuid 来 “drop root”。

<!-- gh-comment-id:549017040 --> @ysc3839 commented on GitHub (Nov 2, 2019): 许多 Unix 系统会限制只有 root 用户才能绑定一些端口。而且这种限制很可能是写死的,也就是说没办法设置“允许某用户组绑定端口”。这种情况下只能先以 root 用户启动,绑定端口后再用 setuid 来 “drop root”。
gitea-mirror commented 2026-05-05 12:45:30 -06:00
Author
Owner
Copy link

@fatedier commented on GitHub (Nov 2, 2019):

你可以认为这只是一个示例配置,可以根据自己的需要进行修改。

<!-- gh-comment-id:549042456 --> @fatedier commented on GitHub (Nov 2, 2019): 你可以认为这只是一个示例配置,可以根据自己的需要进行修改。
gitea-mirror commented 2026-05-05 12:45:30 -06:00
Author
Owner
Copy link

@Xeath commented on GitHub (Nov 3, 2019):

……
部分系统限制了非 root 账户不能绑定 1024 以下的端口。

<!-- gh-comment-id:549147531 --> @Xeath commented on GitHub (Nov 3, 2019): …… 部分系统限制了非 root 账户不能绑定 1024 以下的端口。
gitea-mirror commented 2026-05-05 12:45:31 -06:00
Author
Owner
Copy link

@deadlineOvO commented on GitHub (Nov 5, 2019):

额外一提:假设不使用 root 来进行绑定 1024 一下端口的话,可以使用 setcap 或者是增加 systemd 单元文件的 cap 相关选项来达成目的

<!-- gh-comment-id:549665979 --> @deadlineOvO commented on GitHub (Nov 5, 2019): 额外一提:假设不使用 root 来进行绑定 1024 一下端口的话,可以使用 setcap 或者是增加 systemd 单元文件的 cap 相关选项来达成目的
gitea-mirror commented 2026-05-05 12:45:31 -06:00
Author
Owner
Copy link

@deadlineOvO commented on GitHub (Nov 5, 2019):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

<!-- gh-comment-id:549667696 --> @deadlineOvO commented on GitHub (Nov 5, 2019): 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力
gitea-mirror commented 2026-05-05 12:45:32 -06:00
Author
Owner
Copy link

@iBug commented on GitHub (Nov 17, 2019):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

这里有点错误,CapabilityBoundingSet 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是

AmbientCapabilities=CAP_NET_BIND_SERVICE

这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了

<!-- gh-comment-id:554716532 --> @iBug commented on GitHub (Nov 17, 2019): > 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力 这里有点错误,`CapabilityBoundingSet` 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是 ``` AmbientCapabilities=CAP_NET_BIND_SERVICE ``` 这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了
gitea-mirror commented 2026-05-05 12:45:32 -06:00
Author
Owner
Copy link

@deadlineOvO commented on GitHub (Nov 17, 2019):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

这里有点错误,CapabilityBoundingSet 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是

AmbientCapabilities=CAP_NET_BIND_SERVICE

这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了

是这个样子的啊

<!-- gh-comment-id:554747659 --> @deadlineOvO commented on GitHub (Nov 17, 2019): > > 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力 > > 这里有点错误,`CapabilityBoundingSet` 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是 > > ``` > AmbientCapabilities=CAP_NET_BIND_SERVICE > ``` > > 这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了 是这个样子的啊
gitea-mirror commented 2026-05-05 12:45:32 -06:00
Author
Owner
Copy link

@LHANDRH commented on GitHub (Dec 6, 2019):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

这里有点错误,CapabilityBoundingSet 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是

AmbientCapabilities=CAP_NET_BIND_SERVICE

这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了

是这个样子的啊

放在 [Service] 段下。
我粘个完整的方便后面的人看:

[Unit]
Description=Frp Server Service
After=network.target

[Service]
Type=simple
User=nobody
Restart=on-failure
RestartSec=5s
ExecStart=/usr/bin/frps -c /etc/frp/frps.ini
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target
<!-- gh-comment-id:562502621 --> @LHANDRH commented on GitHub (Dec 6, 2019): > > > 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力 > > > > > > 这里有点错误,`CapabilityBoundingSet` 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是 > > ``` > > AmbientCapabilities=CAP_NET_BIND_SERVICE > > ``` > > > > > > 这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了 > > 是这个样子的啊 放在 [Service] 段下。 我粘个完整的方便后面的人看: ``` [Unit] Description=Frp Server Service After=network.target [Service] Type=simple User=nobody Restart=on-failure RestartSec=5s ExecStart=/usr/bin/frps -c /etc/frp/frps.ini AmbientCapabilities=CAP_NET_BIND_SERVICE [Install] WantedBy=multi-user.target ```
gitea-mirror commented 2026-05-05 12:45:33 -06:00
Author
Owner
Copy link

@deadlineOvO commented on GitHub (Dec 6, 2019):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

这里有点错误,CapabilityBoundingSet 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是

AmbientCapabilities=CAP_NET_BIND_SERVICE

这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了

是这个样子的啊

放在 [Service] 段下。
我粘个完整的方便后面的人看:

[Unit]
Description=Frp Server Service
After=network.target

[Service]
Type=simple
User=nobody
Restart=on-failure
RestartSec=5s
ExecStart=/usr/bin/frps -c /etc/frp/frps.ini
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

不过那个 5s 究竟是为了什么?

<!-- gh-comment-id:562513564 --> @deadlineOvO commented on GitHub (Dec 6, 2019): > > > > 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力 > > > > > > > > > 这里有点错误,`CapabilityBoundingSet` 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是 > > > ``` > > > AmbientCapabilities=CAP_NET_BIND_SERVICE > > > ``` > > > > > > > > > 这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了 > > > > > > 是这个样子的啊 > > 放在 [Service] 段下。 > 我粘个完整的方便后面的人看: > > ``` > [Unit] > Description=Frp Server Service > After=network.target > > [Service] > Type=simple > User=nobody > Restart=on-failure > RestartSec=5s > ExecStart=/usr/bin/frps -c /etc/frp/frps.ini > AmbientCapabilities=CAP_NET_BIND_SERVICE > > [Install] > WantedBy=multi-user.target > ``` 不过那个 5s 究竟是为了什么?
gitea-mirror commented 2026-05-05 12:45:33 -06:00
Author
Owner
Copy link

@deadlineOvO commented on GitHub (Dec 7, 2019):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

这里有点错误,CapabilityBoundingSet 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是

AmbientCapabilities=CAP_NET_BIND_SERVICE

这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了

看了下 文档 ,事实上使用 CapabilityBoundingSet 也可以增加 cap ,不过 CapabilityBoundingSet 也可以做到删减 cap

<!-- gh-comment-id:562839735 --> @deadlineOvO commented on GitHub (Dec 7, 2019): > > 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力 > > 这里有点错误,`CapabilityBoundingSet` 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是 > > ``` > AmbientCapabilities=CAP_NET_BIND_SERVICE > ``` > > 这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了 看了下 [文档](https://www.freedesktop.org/software/systemd/man/systemd.exec.html#CapabilityBoundingSet=) ,事实上使用 `CapabilityBoundingSet` 也可以增加 cap ,不过 `CapabilityBoundingSet` 也可以做到删减 cap
gitea-mirror commented 2026-05-05 12:45:33 -06:00
Author
Owner
Copy link

@668168 commented on GitHub (Dec 14, 2020):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

这里有点错误,CapabilityBoundingSet 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是

AmbientCapabilities=CAP_NET_BIND_SERVICE

这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了

是这个样子的啊

放在 [Service] 段下。
我粘个完整的方便后面的人看:

[Unit]
Description=Frp Server Service
After=network.target

[Service]
Type=simple
User=nobody
Restart=on-failure
RestartSec=5s
ExecStart=/usr/bin/frps -c /etc/frp/frps.ini
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

特意登陆表示感谢。
首先您提供了root cause的关键解法。
我还在困惑这句应该放在哪里生效,
AmbientCapabilities=CAP_NET_BIND_SERVICE
您又贴了完整code。

希望我这个无用的感谢信息没有给大家造成困扰。

<!-- gh-comment-id:744357737 --> @668168 commented on GitHub (Dec 14, 2020): > > > > 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力 > > > > > > > > > 这里有点错误,`CapabilityBoundingSet` 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是 > > > ``` > > > AmbientCapabilities=CAP_NET_BIND_SERVICE > > > ``` > > > > > > > > > 这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了 > > > > > > 是这个样子的啊 > > 放在 [Service] 段下。 > 我粘个完整的方便后面的人看: > > ``` > [Unit] > Description=Frp Server Service > After=network.target > > [Service] > Type=simple > User=nobody > Restart=on-failure > RestartSec=5s > ExecStart=/usr/bin/frps -c /etc/frp/frps.ini > AmbientCapabilities=CAP_NET_BIND_SERVICE > > [Install] > WantedBy=multi-user.target > ``` 特意登陆表示感谢。 首先您提供了root cause的关键解法。 我还在困惑这句应该放在哪里生效, AmbientCapabilities=CAP_NET_BIND_SERVICE 您又贴了完整code。 希望我这个无用的感谢信息没有给大家造成困扰。
gitea-mirror commented 2026-05-05 12:45:34 -06:00
Author
Owner
Copy link

@buptzyf commented on GitHub (Sep 24, 2021):

详细看了下,使用 systemd 的发行版可以使用 CapabilityBoundingSet = 来设置这个服务的一些能力

这里有点错误,CapabilityBoundingSet 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是

AmbientCapabilities=CAP_NET_BIND_SERVICE

这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了

是这个样子的啊

放在 [Service] 段下。
我粘个完整的方便后面的人看:

[Unit]
Description=Frp Server Service
After=network.target

[Service]
Type=simple
User=nobody
Restart=on-failure
RestartSec=5s
ExecStart=/usr/bin/frps -c /etc/frp/frps.ini
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

树莓派 ubuntu16 下,以非root用户登录,未解决问题

更新
成功了,解决问题了
ExecStart=/usr/bin/frps -c /etc/frp/frps.ini,这里frpc的路径不能放在某个用户目录下,比如 /home/user3/frpc/

<!-- gh-comment-id:926280152 --> @buptzyf commented on GitHub (Sep 24, 2021): > > > > 详细看了下,使用 systemd 的发行版可以使用 `CapabilityBoundingSet =` 来设置这个服务的一些能力 > > > > > > > > > 这里有点错误,`CapabilityBoundingSet` 是限制该服务拥有的 cap,也就是不在这个列表里的 cap 都会被去掉。要想添加一个 cap,正确的做法是 > > > ``` > > > AmbientCapabilities=CAP_NET_BIND_SERVICE > > > ``` > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > 这样你的 frps 就可以绑定 1~1023 这些端口 (Privileged Ports) 了 > > > > > > 是这个样子的啊 > > 放在 [Service] 段下。 > 我粘个完整的方便后面的人看: > > ``` > [Unit] > Description=Frp Server Service > After=network.target > > [Service] > Type=simple > User=nobody > Restart=on-failure > RestartSec=5s > ExecStart=/usr/bin/frps -c /etc/frp/frps.ini > AmbientCapabilities=CAP_NET_BIND_SERVICE > > [Install] > WantedBy=multi-user.target > ``` 树莓派 ubuntu16 下,以非root用户登录,未解决问题 **更新** 成功了,解决问题了 ExecStart=/usr/bin/frps -c /etc/frp/frps.ini,这里frpc的路径**不能**放在某个用户目录下,比如 /home/user3/frpc/
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
dev
new
master
copilot/review-pull-request-5198
v0.68.1
v0.68.0
v0.67.0
v0.66.0
v0.65.0
v0.64.0
v0.63.0
v0.62.1
v0.62.0
v0.61.2
v0.61.1
v0.61.0
v0.60.0
v0.59.0
v0.58.1
v0.58.0
v0.57.0
v0.56.0
v0.55.1
v0.55.0
v0.54.0
v0.53.2
v0.53.1
v0.53.0
v0.52.3
v0.52.2
v0.52.1
v0.52.0
v0.51.3
v0.51.2
v0.51.1
v0.51.0
v0.50.0
v0.49.0
v0.48.0
v0.47.0
v0.46.1
v0.46.0
v0.45.0
v0.44.0
v0.43.0
v0.42.0
v0.41.0
v0.40.0
v0.39.1
v0.39.0
v0.38.0
v0.37.1
v0.37.0
v0.36.2
v0.36.1
v0.36.0
v0.35.1
v0.35.0
v0.34.3
v0.34.2
v0.34.1
v0.34.0
v0.33.0
v0.32.1
v0.32.0
v0.31.2
v0.31.1
v0.31.0
v0.30.0
v0.29.1
v0.29.0
v0.28.2
v0.28.1
v0.28.0
v0.27.1
v0.27.0
v0.26.0
v0.25.3
v0.25.2
v0.25.1
v0.25.0
v0.24.1
v0.24.0
v0.23.3
v0.23.2
v0.23.1
v0.23.0
v0.22.0
v0.21.0
v0.20.0
v0.19.1
v0.19.0
v0.18.0
v0.17.0
v0.16.1
v0.16.0
v0.15.1
v0.15.0
v0.14.1
v0.14.0
v0.13.0
v0.12.0
v0.11.0
v0.10.0
v0.9.3
v0.9.2
v0.9.1
v0.9.0
v0.8.1
v0.8.0
v0.7.0
v0.6.0
v0.5.0
v0.3.0
v0.2.0
v0.1.0
Labels
Clear labels   
In Progress

   
WIP

   
WaitingForInfo

   
bug

   
doc

   
duplicate

   
easy

   
enhancement

   
future

   
help wanted

   
invalid

   
lifecycle/stale

   
need-issue-template

   
need-usage-help

   
no plan

   
proposal

   
pull-request

Mirrored from GitHub Pull Request

  
question

   
todo
No labels
In Progress
WIP
WaitingForInfo
bug
doc
duplicate
easy
enhancement
future
help wanted
invalid
lifecycle/stale
need-issue-template
need-usage-help
no plan
proposal
pull-request
question
todo
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: github-starred/frp#1179
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?