POSIX 文件能力：分配根用户的能力

如果我们了解 icmp 的实现，这种技巧可以帮助我们判断问题，但是它确实没有把问题说清楚。

接下来，我们可以试着在 strace 之下运行这个程序（同样不设置 suid 位）。strace 会报告这个程序使用的所有系统调用及其返回值，所以可以通过查看 strace 输出中的返回值来判断缺少的权限。

strace -oping.out ping google.com
grep EPERM ping.out
　 socket(PF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM (Operation not permitted)

我们缺少创建套接字类型 SOCK_RAW 的权限。查看 /usr/include/linux/capability.h，会看到：

/* Allow use of RAW sockets */
/* Allow use of PACKET sockets */
#define CAP_NET_RAW　　　　　13

显然，为了允许非特权用户使用 ping，需要的能力是 CAP_NET_RAW。但是，有些程序可能会试图执行它们并不真正需要的操作，-EPERM 会拒绝这些操作。判断它们真正需要的能力并不这么容易。

另一种更可行的方法是，在内核中检查能力的地方插入一个探测。这个探测输出关于被拒绝的能力的调试信息。

开发人员可以用 kprobes 编写小的内核模块，从而在函数的开头（jprobe）、函数的结尾（kretprobe）或在任何位置（kprobe）运行代码。可以利用这个功能收集信息，了解内核在运行某些程序时需要哪些能力。（本节的余下部分假设您的内核启用了 kprobes 和文件能力。）

清单 3 是一个内核模块，它插入一个 jprobe 来探测 cap_capable() 函数的开头。

清单 3. capable_probe.c

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/sched.h>
static const char *probed_func = "cap_capable";
int cr_capable (struct task_struct *tsk, int cap)
{
　　printk(KERN_NOTICE "%s: asking for capability %d for %sn",
　　　　__FUNCTION__, cap, tsk->comm);
　　jprobe_return();
　　return 0;
}
static struct jprobe jp = {
　　.entry = JPROBE_ENTRY(cr_capable)
};
static int __init kprobe_init(void)
{
　　int ret;
　　jp.kp.symbol_name = (char *)probed_func;
　　if ((ret = register_jprobe(&jp)) < 0) {
　　　　printk("%s: register_jprobe failed, returned %dn",
　　　　　　__FUNCTION__, ret);
　　　　return -1;
　　}
　　return 0;
}
static void __exit kprobe_exit(void)
{
　　unregister_jprobe(&jp);
　　printk("capable kprobes unregisteredn");
}
module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");