为什么 ping 需要 setuid 权限？

Question

为了ping工作它需要能够创建一个生的网络套接字。这通常是特权操作。

在现代 Linux 系统上能被赋予“能力”

例如在 CentOS 7 上：

$ ls -l /bin/ping
-rwxr-xr-x 1 root root 62088 Nov  7  2016 /bin/ping*

$ getcap /bin/ping
/bin/ping = cap_net_admin,cap_net_raw+p

在 Debian 9.1（延伸）上：

$ getcap /bin/ping
/bin/ping = cap_net_raw+ep

功能是一种执行更细粒度形式的权限升级的新方法，无需授予 setuid 程序授予的整个“root”权限。

如果没有功能，则ping需要 setuid root，才能创建原始网络套接字。

Answer 1

为了ping工作它需要能够创建一个生的网络套接字。这通常是特权操作。

在现代 Linux 系统上能被赋予“能力”

例如在 CentOS 7 上：

$ ls -l /bin/ping
-rwxr-xr-x 1 root root 62088 Nov  7  2016 /bin/ping*

$ getcap /bin/ping
/bin/ping = cap_net_admin,cap_net_raw+p

在 Debian 9.1（延伸）上：

$ getcap /bin/ping
/bin/ping = cap_net_raw+ep

功能是一种执行更细粒度形式的权限升级的新方法，无需授予 setuid 程序授予的整个“root”权限。

如果没有功能，则ping需要 setuid root，才能创建原始网络套接字。

相关内容