python - 在 /usr/bin/python2.7 上使用 setcap 不会为子任务提供权限

Question

我（我们）正在使用 python 创建数据包并捕获回复以测试网络设备。为了提供我使用过的 python 功能：

sudo setcap cap_net_admin,cap_net_raw+eip /usr/bin/python2.7

当我检查功能时，设置看起来不错：

getcap /usr/bin/python2.7
/usr/bin/python2.7 = cap_net_admin,cap_net_raw+eip

如果我运行我的脚本，我会收到以下错误：

dumpcap: The capture session could not be initiated on interface 'eth2' (You don't have permission to capture on that device).
Please check to make sure you have sufficient permissions, and that you have the proper interface or pipe specified.

如果我直接通过以下方式为 dumpcap 提供功能：

sudo setcap cap_net_admin,cap_net_raw=eip /usr/bin/dumpcap

这使脚本运行，但它并没有解决我的 python 无法使用 cap_net_admin 的问题。

有什么方法可以检查我正在运行的 python 进程是否获得了正确的功能？或者为什么 python2.7 似乎没有继承我系统上的功能？

为了确保调用正确的文件/进程，我使用 /usr/bin/python2.7 作为要调用的可执行文件。相同的 python 代码适用于我公司的其他人。我正在运行 Ubuntu 16.04。问候

Answer 1

正如@Petesh所指出的那样，您的脚本可能会调用子流程，涉及调用的内容exec()并且未在子流程的有效集中提高功能。您可以通过利用环境功能来解决此问题，这些功能可用于内核 4.3+ - 即 Ubuntu 16.04 就足够了。简单地说，环境功能被保留在exec()中，因此传递给子进程。要启动具有环境功能的进程，您可以使用以下实用程序：https ://gist.github.com/tomix86/32394a43be70c337cbf1e0c0a56cbd8d

要检查给定流程的能力集，您可以使用

grep Cap /proc/[pid]/status

其中 CapEff 是有效的能力集，要解码这些十六进制字符串，您可以使用capsh