On Sun, Jan 11, 2009 at 01:38:36PM +0100, Torsten Foertsch wrote:
Hallo,
ich experimentiere gerade ein wenig mit Capabilities unter openSUSE 11.1:
$ ls -l /bin/ping; /sbin/getcap /bin/ping -rwxr-xr-x 1 root root 40048 2008-12-03 12:08 /bin/ping /bin/ping = cap_net_raw+ep
Ich habe das SUID Bit von /bin/ping ausgemacht und ihm dafür das zum Öffnen des RAW-Sockets nötige Capability-Bit gesetzt.
Der Kernel wurde mit file_caps=1 gebootet.
Trotzdem bekomme ich immer noch diese Meldung:
ping: icmp open socket: Operation not permitted
Parallel habe ich mal /proc/$PID/status für den Ping-Prozess ausgegeben. Dort steht unter anderem:
CapInh: 0000000000000000 CapPrm: 0000000000000000 CapEff: 0000000000000000 CapBnd: ffffffffffffffff
Für mich sieht das so aus, als ob der Kernel die im Filesystem gesetzten Capabilities ignoriert.
Was ist falsch? Bzw. wo kann man noch drehen?
Ich glaube der Kernel hat einen Bug im file_caps cmdline parsing und file_caps=1 geht noch nicht. Evt geht file_caps1 derweile. (Das Problem ist ein fehlendes "=" im Patch.) ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org