必要がなくなっている、というか特定の条件では CAP_NET_RAW は不要という話。 ある講義で Capability について話す機会があり、いつもどおり CAP_NET_RAW が必要な ping を使った実験をしていたところ、環境によっては CAP_NET_RAW File Capability を与えなくても ping が実行できることに気づき、少し調べてみました。 どうも随分前に net.ipv4.ping_group_range というカーネルパラメータが追加されていたらしく、これを設定することで ICMP ソケットを扱うグループを指定できるため、 CAP_NET_RAW や setuid なしで実行できるようになっていたようでした。 以下、調べたことを書いておきます。 ubuntu 18.04 では CAP_NET_RAW なしでは動かないのに対し、ubuntu 20.04
![ping を実行するのに CAP_NET_RAW は必要なくなっていた](https://cdn-ak-scissors.b.st-hatena.com/image/square/07ef088e85b445a50c543af08d06fdfbf4e005a3/height=288;version=1;width=512/https%3A%2F%2Fblog.ssrf.in%2Fimages%2Ficons%2Ficon-512x512.png)