Am Dienstag 13 April 2010 schrieb Marc Haber: > On Tue, 13 Apr 2010 00:59:20 +0200, Thomas Halinka <lists@thohal.de> > > wrote: > >Am Dienstag, den 13.04.2010, 00:52 +0200 schrieb Thomas Halinka: > >> Am Montag, den 12.04.2010, 22:07 +0200 schrieb Dirk Salva: > >> > su www-data -c usr/bin/traceroute -I $REMOTE_ADDR > >> > >> su www-data -c "usr/bin/traceroute -I $REMOTE_ADDR" > > > >na gut, da war ich wohl zu schnell > > > ># su www-data -c "/usr/bin/traceroute -I heise.de" > >The specified type of tracerouting is allowed for superuser only > > > >aber mtr ist dein freund [...] > >und nutzt auch ICMP.... > > mtr ist suid root, deswegen geht das. ping auch. Und das ist genau das Problem: Nur Root darf ICMP ECHO-Pakete verschicken. Aus der Manpage von ping: SECURITY ping requires CAP_NET_RAWIO capability to be executed. It may be used as set-uid root. Fein-granularer gehts oder gings wohl mal so: Das muesste (ungetestet) ungefaehr so gehen: cap_t cap; cap = cap_from_text("= cap_net_raw+ep"); cap_set_proc(cap); http://newsgroups.derkeiler.com/Archive/De/de.comp.os.unix.programming/2006-02/msg00196.html ;-) Ciao, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.