[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:33111] iputils s20190709



加藤です。

iputils パッケージを更新しました。問題があればご報告ください。

2019-09-30  KATOH Yasufumi  <karma@xxxxxxxxxxxxxxxx>

        * iputils s20190709
          pingコマンドのsetuidを解除し、capabilityを設定するようにした(失
          敗したらsetuidする)
          (plamo/00_base/iputils-s20190709-x86_64-B1.txz)

これまでは

karma@discovery:~$ ls -l /bin/ping
-rwsr-xr-x 1 root root 77,480  9月 30日  18:08 /bin/ping*

という感じで setuid されていたはずですが、上記のバージョンでは

karma@discovery:~$ ls -l /bin/ping
-rwxr-xr-x 1 root root 77,480  9月 30日  18:08 /bin/ping*

というように setuid されていません。代わりに

$ /sbin/getcap /bin/ping
/bin/ping = cap_net_admin,cap_net_raw+p
$ getfattr -d -m "security" /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAAAAAgAwAAAAAAAAAAAAAAAAAAA=

となっており、root の全権限を渡す代わりに capability を使って必要な特
権のみを渡すようにしました。

イマドキの RHEL 系、ArchLinux なんかもこのように設定されているようです。

capability をよくご存知の方はなぜ "+ep" になっていないのか? と思われる
と思いますが、今の ping コマンドは便利にできていて、"+p" だけで実行で
きるようにプログラミングされています。

興味のある方は
  https://tenforward.hatenablog.com/entry/2019/09/29/021633
をどうぞ(宣伝w)

あと、今の iputils は meson/ninja になっていました(以前は Makefile が
直接あるだけだった)。で、ping も /usr/bin にインストールするようになっ
てましたが、Plamo ではこれまでの互換性を考えて /bin/ping にしています。
開発元の意向も尊重して /usr/bin/ping にもシンボリックリンクを置いてい
ます。

-- 
==============================================
((((    加藤泰文
○-○                karma @ jazz.email.ne.jp
==============================================
 (Web Page) http://www.ten-forward.ws/
==============================================


Follow-Ups
[plamo:33112] Re: iputils s20190709, KATOH Yasufumi

[検索ページ] [メール一覧]
Plamo ML 公開システム