Bug 27995

Summary: [FR] обновить бы
Product: Sisyphus Reporter: Michael Shigorin <mike>
Component: iputilsAssignee: Mikhail Efremov <sem>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: enhancement    
Priority: P3 CC: ender, lav, ldv, sem
Version: unstable   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 34163    

Description Michael Shigorin 2012-11-17 22:17:17 MSK 
Апстрим с месяц как проснулся и выкатил несколько новых снапшотов: http://www.skbuff.net/iputils/

А навеяло вообще-то вот этим сообщением: http://www.opennet.ru/openforum/vsluhforumID3/87340.html#288
Comment 1 Afanasov Dmitry 2012-11-18 02:18:57 MSK 
добро, Миша, сделаю. дай неделю плз.
Comment 2 Dmitry V. Levin 2012-11-18 04:59:25 MSK 
(In reply to comment #0)
> Апстрим с месяц как проснулся и выкатил несколько новых снапшотов:
> http://www.skbuff.net/iputils/

Ага, и в федоре уже 20121112-1.

> А навеяло вообще-то вот этим сообщением:
> http://www.opennet.ru/openforum/vsluhforumID3/87340.html#288

Ну так это как раз исправить недолго.
Comment 3 Michael Shigorin 2012-11-18 14:59:09 MSK 
(In reply to comment #1)
> дай неделю плз.
Дим, так твоё время -- ты им и распоряжаешься :)  Спасибо, что откликнулся.
Comment 4 Repository Robot 2017-09-20 20:07:48 MSK 
iputils-20161105-alt1 -> sisyphus:

Mon Sep 18 2017 Mikhail Efremov <sem@altlinux.org> 20161105-alt1
- Rename in.rdisc -> rdisc.
- Package ninfod.
- Drop ifenslave.
- ping: Drop capabilities in IPv4 mode.
- Rewrite old ALT droppriv patch.
- Updated patches descriptors fix.
- Updated to 20161105 (closes: #27995).
Comment 5 Vitaly Lipatov 2017-11-09 01:49:26 MSK 
А кем надо быть, чтобы теперь из-под пользователя использовать ping?
$ /usr/libexec/ping/ping ya.ru
ping: socket: Операция не позволена

# ls -l /usr/libexec/ping/ping 
-rwx--s--x 1 root iputils 64472 сен 21 20:26 /usr/libexec/ping/ping

# strace -f ping ya.ru
capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, NULL) = -1 EFAULT (Bad address)
capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, {effective=0, permitted=0, inheritable=0}) = 0
socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP) = -1 EACCES (Permission denied)
socket(AF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM (Operation not permitted)
socket(AF_INET6, SOCK_DGRAM, IPPROTO_ICMPV6) = -1 EPROTONOSUPPORT (Protocol not supported)
socket(AF_INET6, SOCK_RAW, IPPROTO_ICMPV6) = -1 EPERM (Operation not permitted)
Comment 6 Mikhail Efremov 2017-11-09 12:19:23 MSK 
(В ответ на комментарий №5)
> А кем надо быть, чтобы теперь из-под пользователя использовать ping?

Как и раньше это устанавливается с помощью control ping.

> $ /usr/libexec/ping/ping ya.ru
> ping: socket: Операция не позволена

Потому что не надо это запускать напрямую. В PATH есть ping, который надо.
Comment 7 Vitaly Lipatov 2017-11-09 14:37:46 MSK 
(В ответ на комментарий №6)
> (В ответ на комментарий №5)
> > А кем надо быть, чтобы теперь из-под пользователя использовать ping?
> 
> Как и раньше это устанавливается с помощью control ping.
control ping устанавливает режим доступа к каталогу
/usr/libexec/ping/

> > $ /usr/libexec/ping/ping ya.ru
> > ping: socket: Операция не позволена
> 
> Потому что не надо это запускать напрямую. В PATH есть ping, который надо.
Извините, /bin/ping это симлинк на /usr/libexec/ping/ping
Естественно, проблема не зависит от того, как запускать.

Суть в том, что в новой сборке SUID сменился на SGID, при том что ping принадлежит группе iputils, в которую никто не входит, и поэтому не может пользоваться командой ping.
Но я думал, что вы это знаете.
Comment 8 Dmitry V. Levin 2017-11-09 14:44:43 MSK 
(In reply to comment #5)
> А кем надо быть, чтобы теперь из-под пользователя использовать ping?
> $ /usr/libexec/ping/ping ya.ru
> ping: socket: Операция не позволена

См. /lib/sysctl.d/70-iputils.conf - это не конфигурационный файл, а часть пакета iputils.