Bug 27995 - [FR] обновить бы
Summary: [FR] обновить бы
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: iputils (show other bugs)
Version: unstable
Hardware: all Linux
: P3 enhancement
Assignee: Mikhail Efremov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks: 34163
  Show dependency tree
 
Reported: 2012-11-17 22:17 MSK by Michael Shigorin
Modified: 2017-11-09 15:13 MSK (History)
4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2012-11-17 22:17:17 MSK 
Апстрим с месяц как проснулся и выкатил несколько новых снапшотов: http://www.skbuff.net/iputils/

А навеяло вообще-то вот этим сообщением: http://www.opennet.ru/openforum/vsluhforumID3/87340.html#288
Comment 1 Afanasov Dmitry 2012-11-18 02:18:57 MSK 
добро, Миша, сделаю. дай неделю плз.
Comment 2 Dmitry V. Levin 2012-11-18 04:59:25 MSK 
(In reply to comment #0)
> Апстрим с месяц как проснулся и выкатил несколько новых снапшотов:
> http://www.skbuff.net/iputils/

Ага, и в федоре уже 20121112-1.

> А навеяло вообще-то вот этим сообщением:
> http://www.opennet.ru/openforum/vsluhforumID3/87340.html#288

Ну так это как раз исправить недолго.
Comment 3 Michael Shigorin 2012-11-18 14:59:09 MSK 
(In reply to comment #1)
> дай неделю плз.
Дим, так твоё время -- ты им и распоряжаешься :)  Спасибо, что откликнулся.
Comment 4 Repository Robot 2017-09-20 20:07:48 MSK 
iputils-20161105-alt1 -> sisyphus:

Mon Sep 18 2017 Mikhail Efremov <sem@altlinux.org> 20161105-alt1
- Rename in.rdisc -> rdisc.
- Package ninfod.
- Drop ifenslave.
- ping: Drop capabilities in IPv4 mode.
- Rewrite old ALT droppriv patch.
- Updated patches descriptors fix.
- Updated to 20161105 (closes: #27995).
Comment 5 Vitaly Lipatov 2017-11-09 01:49:26 MSK 
А кем надо быть, чтобы теперь из-под пользователя использовать ping?
$ /usr/libexec/ping/ping ya.ru
ping: socket: Операция не позволена

# ls -l /usr/libexec/ping/ping 
-rwx--s--x 1 root iputils 64472 сен 21 20:26 /usr/libexec/ping/ping

# strace -f ping ya.ru
capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, NULL) = -1 EFAULT (Bad address)
capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, {effective=0, permitted=0, inheritable=0}) = 0
socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP) = -1 EACCES (Permission denied)
socket(AF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM (Operation not permitted)
socket(AF_INET6, SOCK_DGRAM, IPPROTO_ICMPV6) = -1 EPROTONOSUPPORT (Protocol not supported)
socket(AF_INET6, SOCK_RAW, IPPROTO_ICMPV6) = -1 EPERM (Operation not permitted)
Comment 6 Mikhail Efremov 2017-11-09 12:19:23 MSK 
(В ответ на комментарий №5)
> А кем надо быть, чтобы теперь из-под пользователя использовать ping?

Как и раньше это устанавливается с помощью control ping.

> $ /usr/libexec/ping/ping ya.ru
> ping: socket: Операция не позволена

Потому что не надо это запускать напрямую. В PATH есть ping, который надо.
Comment 7 Vitaly Lipatov 2017-11-09 14:37:46 MSK 
(В ответ на комментарий №6)
> (В ответ на комментарий №5)
> > А кем надо быть, чтобы теперь из-под пользователя использовать ping?
> 
> Как и раньше это устанавливается с помощью control ping.
control ping устанавливает режим доступа к каталогу
/usr/libexec/ping/

> > $ /usr/libexec/ping/ping ya.ru
> > ping: socket: Операция не позволена
> 
> Потому что не надо это запускать напрямую. В PATH есть ping, который надо.
Извините, /bin/ping это симлинк на /usr/libexec/ping/ping
Естественно, проблема не зависит от того, как запускать.

Суть в том, что в новой сборке SUID сменился на SGID, при том что ping принадлежит группе iputils, в которую никто не входит, и поэтому не может пользоваться командой ping.
Но я думал, что вы это знаете.
Comment 8 Dmitry V. Levin 2017-11-09 14:44:43 MSK 
(In reply to comment #5)
> А кем надо быть, чтобы теперь из-под пользователя использовать ping?
> $ /usr/libexec/ping/ping ya.ru
> ping: socket: Операция не позволена

См. /lib/sysctl.d/70-iputils.conf - это не конфигурационный файл, а часть пакета iputils.