那些遇到过的问题

在 netns 中 ping 需要 sudo (Fedora)

Fre*_*itz 3 fedora namespace network-namespaces

使用 fedora 32,我在网络命名空间内启动了一个 shell,使用

sudo ip netns add net0
sudo ip netns exec net0 sudo -u fred /usr/bin/bash
Run Code Online (Sandbox Code Playgroud)

我配置了网络链接和防火墙以启用 ping。当我尝试以非 root 身份 ping 时,我得到:

$ ping 8.8.8.8                       
ping: socket: Operation not permitted
Run Code Online (Sandbox Code Playgroud)

但是,如果我尝试使用 sudo ping,它会起作用。为什么?

Fre*_*itz 5

请参阅相关问题ping 在没有 setuid 和功能的情况下如何在 Fedora 上工作?

和链接

https://lwn.net/Articles/422330/

https://fedoraproject.org/wiki/Changes/EnableSysctlPingGroupRange

出于安全原因,Fedora 不再使用 setuid/capabilities 以允许非 root 用户使用 ping。相反,他们使用最近的内核功能,允许管理员通过 gid 启用 ping 使用。

在普通外壳中:

$ sudo sysctl net.ipv4.ping_group_range      
net.ipv4.ping_group_range = 0   2147483647
Run Code Online (Sandbox Code Playgroud)

但是在网络空间内的新外壳中:

$ sudo sysctl net.ipv4.ping_group_range
net.ipv4.ping_group_range = 1   0
Run Code Online (Sandbox Code Playgroud)

因此,当您创建新的 netns 时,默认情况下禁用允许非 root 用户在 fedora 上使用 ping 的机制。要解决此问题,只需在您的 netns 中设置 sysctl 值:

$ sudo sysctl net.ipv4.ping_group_range="0 2147483647"
net.ipv4.ping_group_range = 0 2147483647
$ ping 8.8.8.8
64 bytes from 8.8.8.8: icmp_seq=1 ttl=40 time=20 ms
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

156 次

最近记录:

5 年 前
在没有 setuid 和功能的情况下,ping 在 Fedora 上如何工作? 12
更多相关链接
相关归档
Fedora 未在我的笔记本电脑上检测到 CD 磁盘 14
为什么在某些系统上默认情况下未启用 Magic SysRq?有风险吗? 10
当我输入 {+<ENTER> 时 X 窗口终止 8
引导期间没有 /dev/mmcblk0 7
使用 Wayland 和 x11 进行 GPU 卸载 5
为什么我的stub-resolve.conf 丢失了? 5
使用 localectl 添加第二个键盘布局 5
在 2012.01.01 之前使用 Fedora 14 是否危险? 2
无法在 Fedora 20 中安装 vim 2
在 /bin 中创建符号链接会自动在 /usr/bin 中创建第二个链接,which 命令选择 /usr/bin 1
难疑归档
永远每 x 秒重复一次 Unix 命令 564
如何导入秘密 gpg 密钥(从一台机器复制到另一台机器)? 239
解压缩 .gz 文件而不删除 gzipped 文件 218
测试服务是否在脚本中运行的“正确”方法 195
为什么循环查找的输出是不好的做法? 193
如何执行 ls 然后按创建日期对结果进行排序? 155
Fedora 相当于 Debian build-essential 软件包是什么? 150
shebang 是否确定运行脚本的 shell? 110
如何检查“if”语句中是否存在变量? 98
Linux 如何“杀死”一个进程? 94