From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <glas-sysadmins@m.gmane.org>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.5 required=5.0 tests=BAYES_00,RCVD_IN_DNSWL_LOW,
	RCVD_NUMERIC_HELO,SPF_HELO_PASS,SPF_PASS autolearn=no version=3.2.4
X-Injected-Via-Gmane: http://gmane.org/
To: sysadmins@lists.altlinux.org
From: Pavel <p2n@ya.ru>
Date: Mon, 11 Aug 2008 09:20:32 +0500
Message-ID: <g7oekq$fde$1@ger.gmane.org>
References: <4898274C.9010300@rambler.ru>	<g7gskk$bct$1@ger.gmane.org>	<489CB767.5010503@rambler.ru>	<200808090129.00274.jay4mail@gmail.com>	<489CC1E3.7090203@rambler.ru>	<g7mm91$a4h$1@ger.gmane.org>
	<489EFCF4.6090206@rambler.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Complaints-To: usenet@ger.gmane.org
X-Gmane-NNTP-Posting-Host: 85.236.161.128
User-Agent: Thunderbird/2.0.0.16 (winxp/5.1.2600)
In-Reply-To: <489EFCF4.6090206@rambler.ru>
Sender: news <news@ger.gmane.org>
Subject: Re: [Sysadmins] =?koi8-r?b?aXB0YWJsZXMgySDDxczYIFJPVVRF?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 11 Aug 2008 04:19:59 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/g7oekq$fde$1@ger.gmane.org/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

>> ping одна из таких - raw-сокет для отправки ICMP-пакета echo request 
>> может создать только root (кратковременная процедура), а принять echo 
>> reply (долговременная процедура - ее и видно в выводе ps) можно и с 
>> пониженными привилегиями.
> Т.е. пакеты она должна посылать уже из-под обычного пользователя, так? 

Насколько я понял, и создание и отправка ICMP может происходить 
только от root'а.

А если посмотреть так:
> # iptables -t mangle -A OUTPUT -p icmp -m owner --uid-owner user -j MARK --set-mark 0xA
> # iptables -t mangle -A OUTPUT -p icmp -m owner --uid-owner root -j MARK --set-mark 0xB
> 
> # iptables -t mangle -L OUTPUT -vn
>> Chain OUTPUT (policy ACCEPT 149K packets, 53M bytes)
>> pkts bytes target prot
>>    0     0 MARK   icmp  OWNER UID match 500 MARK set 0xa
>>    0     0 MARK   icmp  OWNER UID match 0   MARK set 0xb
> 
> $ ping -c 3 ya.ru
> 
> # iptables -t mangle -L OUTPUT -vn
>> Chain OUTPUT (policy ACCEPT 149K packets, 53M bytes)
>>  pkts bytes target prot
>>     0     0 MARK   icmp  OWNER UID match 500 MARK set 0xa
>>     3   252 MARK   icmp  OWNER UID match 0   MARK set 0xb
Это не может дать однозначного ответа?


-- 
Best regards, Pavel
email/xmpp: p2n-at-ya-dot-ru