[gelöst] ping nur via sudo möglich

[tomi89]

Ist das normal, dass ein Ping nur via sudo möglich ist?

Ohne sudo sieht das so aus:

Code: Alles auswählen

ping -c 5 8.8.8.8
ping: icmp open socket: Operation not permitted

Ich benutze Jessie 64 (Standard-Image und danach Openbox installiert).

[RobertS]

ja ist normal.
Ein socket öffnen benötigt root Rechte.

Grüße

[thoerb]

Ist das normal, dass ein Ping nur via sudo möglich ist?

Ohne sudo sieht das so aus:

Code: Alles auswählen

ping -c 5 8.8.8.8
ping: icmp open socket: Operation not permitted

Ich benutze Jessie 64 (Standard-Image und danach Openbox installiert).

Das funktioniert auch als User, aber woran das jetzt bei dir hängt, kann ich dir leider nicht sagen.

[niesommer]

Also bei mir als normaler nutzer geht das, siehe:

Code: Alles auswählen

shelly@tbbt:~$ ping -c 5 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=16.3 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=14.6 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=57 time=14.4 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=57 time=14.2 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=57 time=14.6 ms

--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 14.270/14.887/16.381/0.771 ms

[RobertS]

Das ist sehr schön wenn es bei euch funktioniert.
Bei einer frischen Jessie ohne Nachgefummel ist das dokumentiertes Verhalten.
Ob die anderen beiden jetzt SuSE, RedHat oder was aus dem Ubuntu Sumpf verwenden geht ja leider aus der Antwort nicht hervor.

Grüße

Robert

[tomi89]

Gut danke. Dann hab ich wieder was nicht mitbekommen.

Ist ja schön, dass ohne Root kein Socket mehr aufgehen kann.

Ich hoffe einfach mal, dass das auch sicher ist, wenn dann immer als Root Sockets geöffnet werden.

[niesommer]

Das ist sehr schön wenn es bei euch funktioniert.
Bei einer frischen Jessie ohne Nachgefummel ist das dokumentiertes Verhalten.

Das kann ich nicht bestätigen. Hier noch einmal ein frisch installiertes Jessie ohne Nachgefummel:

Code: Alles auswählen

shelly@aurora:~$ ping -c 5 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=71.6 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=14.9 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=57 time=14.4 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=57 time=14.5 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=57 time=14.6 ms

--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 14.404/26.048/71.679/22.816 ms
shelly@aurora:~$ file /bin/bash 
/bin/bash: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=a8ff57737fe60fba639d91d603253f4cdc6eb9f7, stripped
shelly@aurora:~$ uname -a
Linux aurora 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1 (2015-05-24) x86_64 GNU/Linux

Ob die anderen beiden jetzt SuSE, RedHat oder was aus dem Ubuntu Sumpf verwenden geht ja leider aus der Antwort nicht hervor.

Grüße

Robert

Stimmt, das hätte ich dazu schreiben sollen!
Leider weiß ich auch nicht wo hier das Problem ist, es scheint aber nicht ein grundsätzliches Problem zu sein bzw. ein Fehler.

[thoerb]

Ob die anderen beiden jetzt SuSE, RedHat oder was aus dem Ubuntu Sumpf verwenden geht ja leider aus der Antwort nicht hervor.

Ich dachte wir sind hier im Debianforum.

Ich benutze ebenfalls Jessie. Aber es ist keine frische Installation, sondern besteht schon seit Squeeze. Nachgefummelt habe ich da nichts was mir jetzt bewusst wäre.

[Radfahrer]

Bei mir funktioniert es auch sowohl unter Jessie als auch unter Stretch als User. Als root natürlich auch. Sudo gibt es bei mir nicht.

[catdog2]

Was sagt denn

Code: Alles auswählen

getcap /bin/ping

?

Hier sagt das:

Code: Alles auswählen

/bin/ping = cap_net_raw+ep

Bei dir dann vmtl nicht, also:

Code: Alles auswählen

setcap cap_net_raw+ep /bin/ping

[tomi89]

Code: Alles auswählen

sudo getcap /bin/ping
Failed to get capabilities of file `/bin/ping' (Operation not supported)

Sofern es sicherer ist, ist es schon ok. Hatte mich bloß gewundert weil es früher ohne sudo geklappt hat.

Oder kann es unsicher sein, die Sockets immer via root zu öffnen?

[RobertS]

ich kopier mal eben aus der manpage

Code: Alles auswählen

SECURITY
       ping requires CAP_NET_RAW capability to be executed. It may be used as set-uid root.

set-uid root hab ich das auch gesetzt um ping in einem Userscript zu verwenden.

Grüße

Robert

[tomi89]

Habe es mal neu installiert. Das Problem war, dass setcap nicht funktionierte. Naja dank suid klappt es jetzt ohne Root.

Code: Alles auswählen

sudo apt-get install iputils-ping --reinstall
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 0 not upgraded.
Need to get 56.5 kB of archives.
After this operation, 0 B of additional disk space will be used.
Get:1 http://http.debian.net/debian/ jessie/main iputils-ping amd64 3:20121221-5+b2 [56.5 kB]
Fetched 56.5 kB in 0s (176 kB/s)      
(Reading database ... 56537 files and directories currently installed.)
Preparing to unpack .../iputils-ping_3%3a20121221-5+b2_amd64.deb ...
Unpacking iputils-ping (3:20121221-5+b2) over (3:20121221-5+b2) ...
Processing triggers for man-db (2.7.0.2-5) ...
Setting up iputils-ping (3:20121221-5+b2) ...
Failed to set capabilities on file `/bin/ping' (Invalid argument)
The value of the capability argument is not permitted for a file. Or the file is not a regular (non-symlink) file
Setcap failed on /bin/ping, falling back to setuid
Scanning processes...                                                                                                                                                   
Scanning kernel images...                                                                                                                                               
Running kernel seems to be up-to-date.
No services need to be restarted.

[catdog2]

Failed to get capabilities of file `/bin/ping' (Operation not supported)

Seltsames Dateisystem? Nur CAP_NET_RAW zu setzen Ist gegenüber dem suid bit schon zu bevorzugen.

[dirk11]

Das ist sehr schön wenn es bei euch funktioniert.
Bei einer frischen Jessie ohne Nachgefummel ist das dokumentiertes Verhalten.
Ob die anderen beiden jetzt SuSE, RedHat oder was aus dem Ubuntu Sumpf verwenden geht ja leider aus der Antwort nicht hervor.

Keine Ahnung, aus welchem "Sumpf" du diese Erkenntnis hast, korrekt ist sie jedenfalls nicht. ping funktionierte schon immer auch als User. Im übrigens hat es 755 als Rechte.

[Norcoen]

Bei mir hat eine eine Reinstallation auch geholfen, war auch bei mir trotz frischer Installation nicht möglich als User einen Ping abzusetzen.

Code: Alles auswählen

root@xyz:/tmp# apt-get install iputils-ping --reinstall
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
0 aktualisiert, 0 neu installiert, 1 erneut installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen 56,5 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 0 B Plattenplatz zusätzlich benutzt.
Holen: 1 http://ftp.de.debian.org/debian/ jessie/main iputils-ping amd64 3:20121221-5+b2 [56,5 kB]
Es wurden 56,5 kB in 1 s geholt (41,1 kB/s).
(Lese Datenbank ... 208711 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereitung zum Entpacken von .../iputils-ping_3%3a20121221-5+b2_amd64.deb ...
Entpacken von iputils-ping (3:20121221-5+b2) über (3:20121221-5+b2) ...
Trigger für man-db (2.7.0.2-5) werden verarbeitet ...
iputils-ping (3:20121221-5+b2) wird eingerichtet ...
Setcap worked! Ping(6) is not suid!

[jaguar]

ja ist normal.
Ein socket öffnen benötigt root Rechte.

Grüße

sudo chmod u+s `which ping`

[Livingston]

ja ist normal.
Ein socket öffnen benötigt root Rechte.

Grüße

Ein UDP- oder TCP-socket zu öffnen ist generell allen Usern erlaubt, solange der Port nicht <1024 ist. Ping arbeitet aber standardmäßig mit ICMP, ohne UDP oder TCP zu nutzen. Für diese Spezialität sind root-Rechte oder caps notwendig.
Zwar wird ICMP als "Hilfsprotokoll" auch bei Connections mit Ports >=1024 genutzt (also auch für Standard-User), aber dies geschieht dort implizit und entspricht dann dem üblichen Gebrauch - im Gegensatz zur Nutzung durch Ping.

[nudgegoonies]

Ich hatte dieses Problem auch. Die Ursache war ein Umzug meines Systems auf eine neue Festplatte mit RSYNC. Da habe ich das -X vergessen, was die Capabilities mitkopiert. Bei cp braucht man -a zusätzlich.

Da ich selber aber den Befehl noch gar nicht kannte und nichts damit gemacht habe waren die fehlenden Capabilities in Debian einfach zu korrigieren. Ich habe in /var/lib/dpkg/info alle ausführbaren Scripte durchsucht nach dem Befehl "setcap" durchsucht und für die wenigen Dateien die das gebraucht haben die setcap Zeile kopiert und als root ausgeführt.

Die dpkg Scripte haben übrigens glaube ich alle einen Fallbackmechanismus. Zumindest waren glaube ich alle in einen If/Else Block eingerahmt, der erst schaute ob setcap da ist und dann ob die Capability gesetzt werden kann. Das geht wohl nicht bei allen Dateisystemen. Wenn eines von beiden nicht klappt setzen die Scripte das Flag für suid.