staging.inyokaproject.org

Gegenbefalls sysctl setzen.

sudo sysctl net.ipv4.ping_group_range='MINIMUM_GROUP_ID MAXIMUM_GROUP_ID'

Wobei MINIMUM_GROUP_ID beispielsweise 1000 sein könnte und MAXIMAUM_GROUP_ID sagen wir mal 1001 haben könnte. Am besten schaut man mal mal, was der eignen Nutzer so hat. Im Terminal:

id

... eingeben.

Dauerhaft werden sysctl entweder in einer /etc/sysctl.conf gesetzt, oder in einzelnen Textdateien unter /etc/sysctl.d/.

Unsere Firma bietet halt an, sich Dell-Laptops auch mit Ubuntu ausliefern zu lassen. Das ganze ist evtl. ein dell-Ubuntu-Image, da bereits im "Splash-Screen" (der normalerweise nur schwarz ist, mit großem Dell-Logo) am unteren Bildschirmrand unter eben jenem Logo ein Ubuntu-Logo zu sehen ist. (Dell ist der Rechner-Zulieferer, nicht die Firma selbst, in der ich arbeite ;o) )

Nun hatte ich allerdings lange keinen remote-Zugriff auf das Firmennetzwerk und heute ist dem Admin aufgefallen, dass ich nicht der richtigen Gruppe angehört habe und hat das nach einem Monat behoben. Ich hatte gehofft, dass sich dadurch vielleicht auch das ping-Problem löst, aber wäre ja eigentlich auch unlogisch...

Jedenfalls meinte er, dass er das noch nie gesehen hätte, das der ping-Befehl nicht funktioniert. ^^

Hi killkenny,

id
sysctl -a | grep ping_group_range

Außerdem sagt das strace, dass auch auf stderr geschrieben wird. Kannst Du uns vllt. noch das log zeigen?

journalctl -f
# in einer anderen Shell: ping -c 3

Alles was jetzt unter journalctl steht, bitte pasten.

~$ journalctl -f
Hint: You are currently not seeing messages from other users and the system.
      Users in groups 'adm', 'systemd-journal' can see all messages.
      Pass -q to turn off this notice.
Journal file /var/log/journal/ee69417a44824df1937ecff9f53993ed/user-1684453639@0005fc58ecdda8dc-c4969039e5bed6d3.journal~ uses an unsupported feature, ignoring file.
Use SYSTEMD_LOG_LEVEL=debug journalctl --file=/var/log/journal/ee69417a44824df1937ecff9f53993ed/user-1684453639@0005fc58ecdda8dc-c4969039e5bed6d3.journal~ to see the details.
Mai 25 16:26:11 bern-f9qjpn3 systemd[3041]: gnome-terminal-server.service: Consumed 6.991s CPU time.
Mai 25 16:26:31 bern-f9qjpn3 /usr/libexec/gdm-x-session[3223]: (EE) event7  - Cherry GmbH CHERRY Wireless Device: client bug: event processing lagging behind by 33ms, your system is too slow
Mai 25 16:26:31 bern-f9qjpn3 systemd[3041]: Started Application launched by gsd-media-keys.
Mai 25 16:26:31 bern-f9qjpn3 x-terminal-emulator[54277]: # Failed to load module "xapp-gtk3-module"
Mai 25 16:26:31 bern-f9qjpn3 dbus-daemon[3061]: [session uid=1684453639 pid=3061] Activating via systemd: service name='org.gnome.Terminal' unit='gnome-terminal-server.service' requested by ':1.289' (uid=1684453639 pid=54277 comm="/usr/bin/gnome-terminal.real --wait" label="unconfined")
Mai 25 16:26:31 bern-f9qjpn3 systemd[3041]: Starting GNOME Terminal Server...
Mai 25 16:26:31 bern-f9qjpn3 gnome-terminal-[54280]: Failed to load module "xapp-gtk3-module"
Mai 25 16:26:31 bern-f9qjpn3 dbus-daemon[3061]: [session uid=1684453639 pid=3061] Successfully activated service 'org.gnome.Terminal'
Mai 25 16:26:31 bern-f9qjpn3 systemd[3041]: Started GNOME Terminal Server.
Mai 25 16:26:31 bern-f9qjpn3 systemd[3041]: Started VTE child process 54300 launched by gnome-terminal-server process 54280.
Mai 25 16:27:37 bern-f9qjpn3 systemd[3041]: Started Application launched by gsd-media-keys.
Mai 25 16:27:37 bern-f9qjpn3 x-terminal-emulator[54560]: # Failed to load module "xapp-gtk3-module"
Mai 25 16:27:38 bern-f9qjpn3 systemd[3041]: Started VTE child process 54564 launched by gnome-terminal-server process 54280.

Welches log meinst du genau?

Jaja, das war schon das. Aber da steht leider nichts drin (system Meldungen werden auch ausgeblendet, sagt die Ausgabe)

Ich wollte eigentlich etwas mehr als nur ein

write(2, "ping: ", 6ping: )                   = 6
write(2, "socket", 6socket)                   = 6
write(2, ": Vorgang nicht zul\303\244ssig", 25: Vorgang nicht zulässig) = 25
write(2, "\n", 1

sehen. Es gibt aber einige Hinweise auf "ping: socket: Operation not permitted" (das ist das, was man im strace sehen kann) im Netz, da könnte man sich mal durchlesen ...

dirkolus schrieb:

Die Rechte zur Ausführung des Programmes /usr/bin/ping/ sind ja da und sind auch nicht das Problem.

Wie ist bei dir die Ausgabe? So wie beim TE:

$ ls -l $(which ping)
-rwxr-xr-x 1 root root 76672 Feb  5  2022 /usr/bin/ping

oder so:

:~ $ ls -la $(which ping)
-rwsr-xr-x 1 root root 69080 Feb  2  2021 /usr/bin/ping

, ... mit gesetztem SUID-Bit?

EDIT:

Ich denke, da ist die Firma (bzw. deren IT) die das ausliefert, zuständig.

Egal was die Firma macht. Solange wir id nicht mitgeteilt bekommen ist das Kristallkugelbowling. Ich vermute, der Nutzer hat schlicht keine Rechte für irgendwas außer dem Minimum. Da müsste dann die IT diesem Nutzer die entsprechenden Gruppenrechte geben.

ChickenLipsRfun2eat schrieb:

Egal was die Firma macht. Solange wir id nicht mitgeteilt bekommen ...

Egal ist es nicht, denn die Firma wird sich ja was dabei gedacht haben, weil sie den ping-Befehl nicht mit setuid belassen hat.

me@kubuntu:~$ ls -lha /usr/bin/ping
-rwxr-xr-x 1 root root 88K Nov 27 08:29 /usr/bin/ping
me@kubuntu:~$ 

Kein setuid gesetzt.

me@kubuntu:~$ getcap /usr/bin/ping
/usr/bin/ping cap_net_raw=ep
me@kubuntu:~$ 

ist dafür drin.

ChickenLipsRfun2eat schrieb:

me@kubuntu:~$ getcap /usr/bin/ping
/usr/bin/ping cap_net_raw=ep
me@kubuntu:~$ 

ist dafür drin.

Bei dir ja, beim TE auch?

Na, ich glaube nicht, das da einer was verstellt hat. ping_group_range ist auch noch offen, nach der dirkolus gefragt hätte. Wäre dann nach ID das nächste. Wobei ICH mit der Info nicht viel anfangen kann. Für mich liest sich ip-sysctl dazu wie „Wenn 3 Kamele 27 Birnen auf Neun, dann Gründonnerstag geteilt durch Taschentuch“. Normal verlinke ich ja gerne die Kerneldoku, in dem Fall kann ich aber selbst nix mit anfangen 😉

/Nachtrag: 65536² = 4294967296 is klar. Aber es gibt nur max. 65535 Gruppen. Was sind die anderen? Die User in den Gruppen mit drin? Denen gehört doch eigentlich™ die vordere Zahl. Ver.Wirrend.
/Nachtrag 2: Mein Fehler. Es sind mehr Gruppen möglich, hab gerade eine mit >90000 erstellt. Dann macht das -1 auch wieder Sinn. Sorry for the noise.

Ahoi!

Ersteinmal möchte ich mich bedanken für die rege Beteiligung an dem Thema! Also sehe ich das richtig, dass das eben firmenseitig vermutlich so konfiguriert ist und ich mich zum Ändern bzw. um Sinn und Zweck zu erfragen, an die IT wenden sollte? Wobei ich den ping-Befehl ja sowieso nicht sooo oft brauche. Und wenn, benutze ich ihn eben mit sudo. Aber es ist gut, das zu wissen. Wenn mal wieder nichts zu tun ist, werde ich da mal ein Support-Ticket aufmachen ;o)

Vielen Dank nochmal!

An die IT wenden wäre das eine, das andere wäre wie[user:dirkolus:] [post:9379548: schrieb]:

id
sysctl -a | grep ping_group_range

Und netterweise direkt noch ein

getcap /usr/bin/ping

localhost anpingen sollte in jedem Fall funktionieren, externe Geräte können das an sich blocken.

killkenny schrieb:

Ahoi!

Also sehe ich das richtig, dass das eben firmenseitig vermutlich so konfiguriert ist und ich mich zum Ändern bzw. um Sinn und Zweck zu erfragen, an die IT wenden sollte?

Wir wissen immer noch nicht genau, was da schief geht. Das mit der ping range und dem cap-flag sind nur Vermutungen.

Wobei ich den ping-Befehl ja sowieso nicht sooo oft brauche. Und wenn, benutze ich ihn eben mit sudo. Aber es ist gut, das zu wissen. Wenn mal wieder nichts zu tun ist, werde ich da mal ein Support-Ticket aufmachen ;o)

Eigentlich ist die große Frage: Hast Du Probleme mit Deinem Netzwerk in der täglichen Arbeit? Ping macht ja nichts produktives. Wenn ja, dann Ticket, wenn nicht, dann gehört's so ☺

'''$ id'''
uid=1684453639(user) gid=1684400513(domain-users) Gruppen=1684400513(domain-users),27(sudo),1684401167(o-pp-poweruser-s),1684401168(o-pp-standarduser-s),1684401205(a-emea-vpn-user-s),1684420809(s-emea-tut-wlan-user),1684438602(s-emea-tut-rds-users-s),1684444010(s-emea-ber_ber-data_l),1684447135(s-emea-ber_ber-data_ks_ber_c),1684447876(s-kstg-projectserver-users),1684447877(s-kstg-projectreport-readers),1684472222(s-emea-tut_home_digital_services_l),1684472223(s-emea-tut_home_digital_services_development_devprodukte_c),1684472225(s-emea-tut_home_digital_services_development_devdokumentation_c),1684472229(s-emea-tut_home_digital_services_projects_projectdokumentation_c),1684472231(s-emea-tut_home_digital_services_products_intern_c),1684472233(s-emea-tut_home_digital_services_products_prodokumentation_c),1684472235(s-emea-tut_home_digital_services_testing_produktest_c),1684472237(s-emea-tut_home_digital_services_testing_testdokumentation_c),1684482971(s-emea-tut_home_digital_services_products_c),1684482975(s-emea-tut_home_digital_services_testing_c),1684484862(s-emea-tut-ap156-tv-a),1684495741(l-kstg-o365-enterprise-e3-s),1684495746(l-emea-de-o365-enterprise-e3-s),1684505870(l-emea-o365-multigeo-s),1684505999(s-kstg-electronic-trainee),1684506011(s-kstg-trainee),1684508940(s-kstg-zscaler-zpa-linux-user-s),1684512875(s-emea-ber-password policy-standard users-s),1684514860(s-kstg-password policy-standard users-s),1684516456(s-emea-tut_home_mdr_c),1684520588(l-kstg-m365-microsoft365-phone-system-s),1684523276(s-kstg-gim-members),1684524046(s-kstg-zscaler-all-user-s),1684524050(s-kstg-internetaccess-default-user-s),1684525129(s-kstg-zscaler-zpa-standard-user-s),1684526006(l-emea-ber-m365-microsoft365-teams-phone-standard-s),1684532689(s-emea-tut_home_mdr_l)
'''$ sysctl -a | grep ping_group_range'''
sysctl: Zugriff verweigert auf Schlüssel »kernel.apparmor_display_secid_mode«
sysctl: Zugriff verweigert auf Schlüssel »kernel.apparmor_restrict_unprivileged_userns«
sysctl: Zugriff verweigert auf Schlüssel »kernel.cad_pid«
sysctl: Zugriff verweigert auf Schlüssel »kernel.unprivileged_userns_apparmor_policy«
sysctl: Zugriff verweigert auf Schlüssel »kernel.usermodehelper.bset«
sysctl: Zugriff verweigert auf Schlüssel »kernel.usermodehelper.inheritable«
sysctl: Zugriff verweigert auf Schlüssel »net.core.bpf_jit_harden«
sysctl: Zugriff verweigert auf Schlüssel »net.core.bpf_jit_kallsyms«
sysctl: Zugriff verweigert auf Schlüssel »net.core.bpf_jit_limit«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv4.tcp_fastopen_key«
net.ipv4.ping_group_range = 1	0
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.all.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.default.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.enp0s31f6.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.enx08920425e4a5.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.lo.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.tun0.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.wlp148s0.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »net.ipv6.conf.zcctun0.stable_secret«
sysctl: Zugriff verweigert auf Schlüssel »vm.mmap_rnd_bits«
sysctl: Zugriff verweigert auf Schlüssel »vm.mmap_rnd_compat_bits«
sysctl: Zugriff verweigert auf Schlüssel »vm.stat_refresh«
''':~$ sudo sysctl -a | grep ping_group_range'''
[sudo] Passwort für user: 
net.ipv4.ping_group_range = 1	0