Am Dienstag 13 April 2010 schrieb Marc Haber:
> On Tue, 13 Apr 2010 00:59:20 +0200, Thomas Halinka <lists@thohal.de>
>
> wrote:
> >Am Dienstag, den 13.04.2010, 00:52 +0200 schrieb Thomas Halinka:
> >> Am Montag, den 12.04.2010, 22:07 +0200 schrieb Dirk Salva:
> >> > su www-data -c usr/bin/traceroute -I $REMOTE_ADDR
> >>
> >> su www-data -c "usr/bin/traceroute -I $REMOTE_ADDR"
> >
> >na gut, da war ich wohl zu schnell
> >
> ># su www-data -c "/usr/bin/traceroute -I heise.de"
> >The specified type of tracerouting is allowed for superuser only
> >
> >aber mtr ist dein freund
[...]
> >und nutzt auch ICMP....
>
> mtr ist suid root, deswegen geht das.
ping auch. Und das ist genau das Problem: Nur Root darf ICMP ECHO-Pakete
verschicken. Aus der Manpage von ping:
SECURITY
ping requires CAP_NET_RAWIO capability to be executed. It may be
used as set-uid root.
Fein-granularer gehts oder gings wohl mal so:
Das muesste (ungetestet) ungefaehr so gehen:
cap_t cap;
cap = cap_from_text("= cap_net_raw+ep");
cap_set_proc(cap);
http://newsgroups.derkeiler.com/Archive/De/de.comp.os.unix.programming/2006-02/msg00196.html
;-)
Ciao,
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.