Разработка > Коллективный bug report
/bin/ping только от root - Runtu LITE 14.04 - 20140419
gas:
Странное дело:
ping ya.ru
ping: icmp open socket: Operation not permitted
Проблема оказалась в неверно (или намеренно, но зачем???) установленных правах на файл /bin/ping: -rwxr-xr-x
Тогда как в «правильном» варианте: -rwsr-xr-x
То есть не установлен бит SUID.
Лечение простое: sudo chmod +s /bin/ping
Интересно услышать официальные комментарии
HsH:
--- Цитата: gas от Май 05, 2014, 18:15:56 ---Интересно услышать официальные комментарии
--- Конец цитаты ---
Подтверждаю данный факт - об этом поведении ранее уже сообщал john_smit77.
Причина - в скрипте DEBIAN/postinst пакета iputils-ping, интересующая нас часть которого выглядит так:
--- Цитировать (выделенное) ---for f in /bin/ping /bin/ping6; do
# if the admin has set an override, don't do anything at all
if ! dpkg-statoverride --list $f > /dev/null 2>&1; then
if getcap $f > /dev/null 2>&1; then
if echo "cap_net_raw+p" | setcap -q - $f; then
# remove the setuid bit!
chmod -s $f
fi
fi
fi
done
--- Конец цитаты ---
gas:
HsH, понятно что это не вами придумано... но в чем смысл разрешать обычный пинг только из-под рута? это же не fping, который действительно нужно прятать от простого юзера.
Может быть стоит научить инсталлятор RUNTU принудительно устанавливать этот SUID бит ?
sfs:
sudo, ждать пока пакет исправят или костыль
--- Код: ---sed 's/exit 0/sudo chmod +s /bin/ping ; exit 0/' /etc/rc.local
--- Конец кода ---
HsH:
--- Цитата: gas от Май 06, 2014, 18:48:40 ---Может быть стоит научить инсталлятор RUNTU принудительно устанавливать этот SUID бит ?
--- Конец цитаты ---
Нет, я перед созданием squashfs просто установлю suid вручную.
--- Цитата: sfs от Май 07, 2014, 09:26:08 ---sudo, ждать пока пакет исправят или костыль
--- Конец цитаты ---
Думаю, проще сразу после установки выполнить
--- Код: ---sudo chmod +s /bin/ping
--- Конец кода ---
этого будет достаточно.
Навигация
Перейти к полной версии