Mittwoch, 13. Juli 2022

Lösung: ping: socket: Operation not permitted. Kein ping als normaler Benutzer. Debian 10 buster.

Nach einem Update funktioniert ping nicht mehr als normaler Benutzer.

Anscheinend gab es eine Sicherheitslücke, welche gefixt werden musste.

 

Habe einen Standard Debian Kernel:

SMP Debian 4.19.249-2 (2022-06-30)

 

In diesem SUSE Supportartikel wird das Symptom beschrieben:

There are two components to be considered, file capabilities (cap_net_raw+eip)  and net.ipv4.ping_group_range kernel parameter.

 

Bei mir gab es keine Ausgabe für den Befehl

 root@pb:~# getcap /bin/ping

Die Ausgabe für

root@pb:~# sysctl net.ipv4.ping_group_range
net.ipv4.ping_group_range = 1    0

brachte den Grund hervor.

Man kann jetzt entweder den Bereich der Gruppennummern auf 1 bis 2147483647 setzen

oder 

mit setcap arbeiten.

Lösung 1:

root@pb:~# sysctl net.ipv4.ping_group_range="1 2147483647"
 

Lösung 2: 

root@pb:~# setcap cap_net_raw+eip /bin/ping
root@pb:~# getcap /bin/ping
/bin/ping = cap_net_raw+eip
 

Der Grund für die Änderung der ping Berechtigungen seitens Debian kommt wschl. wegen dieser CVE (Common Vulnerabilities and Exposures) 

CVE-2015-3636


Fazit:

Lösung 2 bevorzugen.


TODO:

Permanent machen von Lösung 2



Keine Kommentare:

Kommentar veröffentlichen