https://fr-wiki.ikoula.com/index.php?action=history&feed=atom&title=Linux_capabilities_-_Ping_Operation_not_permittedLinux capabilities - Ping Operation not permitted - Historique des versions2026-04-10T21:07:18ZHistorique des révisions pour cette page sur le wikiMediaWiki 1.35.3https://fr-wiki.ikoula.com/index.php?title=Linux_capabilities_-_Ping_Operation_not_permitted&diff=30228&oldid=prevMgrelet794f6 : Page créée avec « <span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_tra... »2021-03-19T11:01:03Z<p>Page créée avec « <span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_tra... »</p>
<p><b>Nouvelle page</b></p><div><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="ro"></span><span data-link_translate="pl"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><!-- Début de l'article. Placez votre texte ci-après et n'hésitez pas à personnaliser les chapitres selon votre besoin --><br />
<br />
==Introduction== <!--T:1--><br />
La gestion des capabilities est un mécanisme de sécurité du noyau Linux afin d'assurer un confinement d’exécution des applications s’exécutant sur le système, ce en affinant les possibilités d'appliquer le principe du moindre privilège.<br><br />
Nous allons voir comment manipuler les capabilities, c'est-à-dire donner quelques privilèges à un exécutable afin qu'il ne tourne pas avec l'identité root.<br />
<br />
==Déroulé== <!--T:2--><br />
Dans notre exemple nous prendrons la commande '''ping''', voici le résultat avec un utilisateur non-root :<br />
<pre><br />
$ ping www.ikoula.com<br />
ping: icmp open socket: Operation not permitted<br />
</pre><br />
<br />
En tant que root, nous allons ajouter la capacité ''cap_net_raw'' dans les sets ''Permitted'' et ''Effective'' '''(pe)''' du binaire ping.<br><br />
Cet ajout se fait avec la commande '''setcap''' :<br />
<pre><br />
# setcap cap_net_raw=pe /bin/ping<br />
</pre><br />
<br />
Nous pouvons vérifier avec la commande '''getcap''' :<br />
<pre><br />
# getcap /bin/ping<br />
/bin/ping = cap_net_raw+ep<br />
</pre><br />
<br />
Testons maintenant avec notre utilisateur :<br />
<pre><br />
$ ping -c 1 www.ikoula.com<br />
PING www.ikoula.com (109.238.9.4) 56(84) bytes of data.<br />
64 bytes from www.ikoula.com (109.238.9.4): icmp_seq=1 ttl=120 time=14.2 ms<br />
<br />
--- www.ikoula.com ping statistics ---<br />
1 packets transmitted, 1 received, 0% packet loss, time 0ms<br />
rtt min/avg/max/mdev = 14.192/14.192/14.192/0.000 ms<br />
</pre><br />
<br />
<br />
Notre utilisateur peut désormais utiliser la commande '''ping'''.<br><br />
Le problème est que la capability ''cap_net_raw'' de '''ping''' est appliquée pour tous nos utilisateurs.<br><br />
En effet, nous avons placé la capability dans le set ''Permitted'' et nous l'avons activée dans le set ''Effective''.<br><br />
De cette façon, '''ping''' s’exécutera de la même manière quelque soit l'utilisateur non-root qui appelle le binaire.<br />
<br />
<br />
Afin de pousser la restriction au niveau utilisateur, nous allons placer des capabilities à activer pour un utilisateur donné dans le set ''Inheritable'' du processus de son shell.<br><br />
Vérifions les valeurs par défaut de notre utilisateur :<br />
<pre><br />
$ /sbin/getpcaps $$<br />
Capabilities for `87903': =<br />
</pre><br />
<br />
<br />
La commande '''getpcaps''' suivie du PID affiche les capabilities du processus attaché au PID, la variable '''$$''' renvoie le PID du shell en cours d'exécution, dans notre cas ''87903''.<br><br />
On peut voir que notre utilisateur n'a aucune capabilities d'ajoutées par défaut.<br />
<br />
En tant que root, nous allons ajouter capability ''cap_net_raw'' au set ''Inheritable'' du shell de notre utilisateur dans le fichier '''/etc/security/capability.conf''' :<br />
<pre><br />
cap_net_raw nom_de_votre_utilisateur<br />
none *<br />
</pre><br />
<br />
<br />
Vérifions ensuite avec notre utilisateur :<br />
<pre><br />
$ /sbin/getpcaps $$<br />
Capabilities for `87903': = cap_net_raw+i<br />
</pre><br />
<br />
<br />
En tant que root, nous allons modifier les capabilities positionnées le set ''Inheritable'' sur le binaire '''ping''' :<br />
<pre><br />
# setcap cap_net_raw=ie /bin/ping<br />
</pre><br />
<br />
<br />
Vérifions :<br />
<pre><br />
# getcap /bin/ping<br />
/bin/ping = cap_net_raw+ei<br />
</pre><br />
<br />
<br />
Vous pouvez désormais utiliser la commande '''ping''' avec votre utilisateur voulu sans que les autres utilisateurs puissent l'utiliser.<br />
<br />
<br />
<!--T:4--><br />
<!-- Fin de l'article --><br />
<br /><br /><br />
Cet article vous a semblé utile ? <vote /><br />
<br />
<!--T:5--><br />
<br />
<!-- Commentaire --><br />
<comments /><br />
<br />
<!-- Placez ci-dessous la ou les catégories auxquelles se rapporte votre article. Ex: [[Catégorie:Linux]] --><br />
[[Catégorie:Linux]]</div>Mgrelet794f6