(gelöst) ping und suid

[guennid]

Bei /bin/ping ist die UID, wenn ich recht sehe, defaultmäßig gesetzt. Sowohl bei wheezy als auch bei einem nicht mehr so frischen jessie. Bei der letzten jessie-Installation konnte zunächst nur noch root pingen. Gibt's dafür eine Erklärung?
(Beide jessies ohne udev und systemd)

Ausführbare Programme, bei denen dieses Bit gesetzt ist, werden zusätzlich zu den Rechten desjenigen Benutzers, der die Datei ausführt, auch mit den Rechten des Benutzers ausgeführt, dem die Datei gehört.

Wenn das so stimmt ist das wieder so'n Beispiel für irreführende Bezeichnerei, dann müsste es doch eigentlich SOID (set Owner-Idendity) heißen - oder?

Grüße, Günther

[MSfree]

Gibt's dafür eine Erklärung?

Ping benötigt raw network sockets und die darf nur eine privilegierter User öffnen. Also wird das Programm dem User root zugeteilt und SUID bewirkt, daß das Programm mit root-Rechten läuft.

Das ist aber keineswegs neu, auch 1989 war ping unter IRIX 3.5 schon SUID-root.

[guennid]

Das ist aber keineswegs neu

Schon klar, aber darum ging's nicht. Mir ging's darum, warum es bisher defaultmäßig immer gesetzt war, aber bei der letzten jesssie-Installation nicht, so dass ich das selber tun musste.
Oder so gefragt, falls das nicht wieder Kriegsgeschrei auslöst: Wird das neuerdings von udev übernommen (das Setzen von suid) und früher war's anders geregelt? Oder war's einfach 'ne Panne bei der Installation?

[MSfree]

Hmm, in der Tat, ping ist auf meinem Jessie auch ohne SUID-root.

Ich habe allerdings folgende Seite gefunden, die die Sache erklärt.
http://stackoverflow.com/questions/3751 ... ux-distros

Bei mir klappt ping jedenfalls als normaler User auch ohne SUID-root.

[guennid]

Bei mir klappt ping jedenfalls als normaler User auch ohne SUID-root.

Hier leider nicht. Nochmal: ist udev neuerdings zuständigf?

Der verlinkte Text ist zu englisch für mich.

Grüße, Günther

[MSfree]

ist udev neuerdings zuständigf?

Nein.

Der verlinkte Text ist zu englisch für mich.

"On modern distros, ping uses an extended file attribute to grant CAP_NET_RAW to unprivileged users.
...which is better than SUID, security wise: only one capability here, instead of the full root set (37 capabilities as of my 4.5 kernel)."

heißt so viel wie:

Bei modernen Distributionen nutzt ping ein erweitertes Dateiattribut, um CAP_NET_RAW auch unprivilegierten Nutzern zur Verfügung zu stellen... Das sei sicherer als SUID, weil nur ein einzelnes Recht zugeteilt werden muß statt der vollen SUID-Palette.

Ich vermute, daß dein selbst kompilierter Kernel schuld ist, den du vermutlich mit der einen oder andere Option zu wenig gebacken hast.

Wer ohne systemd und udev arbeiten will, muß halt leiden und auf die harte Tour lernen

[guennid]

Wer ohne systemd und udev arbeiten will, muß halt leiden und auf die harte Tour lernen

OK

Ich habe da was im Hinterkopf, muss ich aber erst noch 'ne Weile meditieren, bis das wieder hochgespült ist.

Grüße, Günther

[dufty2]

Vielleicht solltest Du zuerst mal testen, ob es bei Dir gesetzt, das Attribut:

Code: Alles auswählen

$ /sbin/getcap /bin/ping
/bin/ping = cap_net_raw+ep

traceroute - zum Bleistift - braucht es nicht:

Code: Alles auswählen

$ /sbin/getcap /usr/bin/traceroute
$

[guennid]

Code: Alles auswählen

$ /sbin/getcap /bin/ping
Failed to get capabilities of file `/bin/ping' (Operation not supported)

[dufty2]

Und was gibt

Code: Alles auswählen

$ grep FS_SEC /boot/config-*

aus?

[guennid]

Code: Alles auswählen

$ grep FS_SEC /boot/config31803t2.3
# CONFIG_EXT4_FS_SECURITY is not set

Im Jessie-Standard-Kern 3.16.0 ist das Modul auf "Y" aber den kann man ohne udev nicht nutzen (initrd).

[dufty2]

Code: Alles auswählen

$ grep FS_SEC /boot/config31803t2.3
# CONFIG_EXT4_FS_SECURITY is not set

Tja, sollte man vielleicht ändern

[guennid]

Aber ja doch!

[guennid]

Was haltet ihr hiervon (1)?
(1) http://weidner.in-bad-schmiedeberg.de/a ... abilities/

[heisenberg]

Ich kann wieder pingen. Die Welt hat wieder einen Sinn. (War bis jetzt zu faul rauszufinden, was sich da geändert hat). Grüße und Dank an den geringfügig weniger faulen Mitschreiber, der die Frage gestellt hat

[guennid]

Code: Alles auswählen

CONFIG_EXT4_FS_SECURITY=y

Wann wurde das geändert (von suid auf diese Kernel-Einstellung)? Kann man das nachlesen? Wie gesagt: auf einer etwas älteren Jessie-Installation (von deren Kernel-config die des neueren abgeleitet wurde) macht noch suid den Job, ohne dass ich das indivuell so konfiguriert hätte.