我正在调试一个使用libnetfilter_queue的程序。文档说明,用户空间队列处理应用程序需要CAP_NET_ADMIN功能。我已经使用setcap实用程序进行了设置:
$ sudo setcap cap_net_raw,cap_net_admin=eip ./a.out
getcap返回以下输出:$ getcap ./a.out
./a.out = cap_net_admin,cap_net_raw+eip
gdb (如 $ gdb ./a.out) 对这个程序进行调试时,由于没有正确设置权限,它失败了。否则,gdb 的调试功能完全正常,可以像往常一样进行调试。gdb 二进制文件本身,但并没有成功。我这样做是因为(正如manpages所记录的那样),"i"标志可能允许被调试程序从调试器继承该能力。我遇到了同样的问题,一开始我也以为像上面那样,可能是由于安全原因,gdb忽略了可执行文件的功能。但是,通过阅读源代码,甚至在调试打开/dev/sda1的ext2fs-prog时使用eclipse调试gdb本身,我意识到:
/bin/bash。因此,解决方案非常简单,除了将cap_net_admin,cap_net_raw + eip添加到gdb中之外,您还需要将其应用于您的shell。即setcap cap_net_admin,cap_net_raw+eip /bin/bash
需要对gdb执行此操作的原因是,在创建调试的进程之前,gdb是/bin/bash的父进程。
在gdb内部的真实可执行命令行如下:
/bin/bash exec /my/executable/program/path
这是在gdb中传递给vfork的参数。
我使用了@NickHuang的解决方案,但是在系统更新后,它破坏了systemd服务(bash的功能太多了,systemd无法启动它或类似的问题)。 我改为不再修改bash,而是通过将命令传递给gdb来直接调用可执行文件。 命令如下
set startup-with-shell off
对于遇到同样问题的用户,您可以通过使用sudo以管理员身份运行gdb来绕过此问题。
不久前,我也遇到了同样的问题。我的猜测是,使用额外功能运行调试程序可能存在安全问题。
您的程序比运行它的用户拥有更多的权限。使用调试器,用户可以操纵程序的执行。因此,如果程序在具有额外特权的调试器下运行,则用户可以将这些特权用于其他目的,而非程序意图使用它们的目的。这将是一个严重的安全漏洞,因为用户一开始就没有这些特权。
gdb源代码以确认这一点,但无论如何我现在会将您的答案标记为已接受。 - Aidan Steele对于那些通过IDE运行GDB的用户,无法像@Stéphane J.的回答中所述sudo GDB。在这种情况下,您可以运行:
sudo gdbserver localhost:12345 /path/to/application
然后将IDE的GDB实例连接到本地的GDBServer。
对于Eclipse CDT,这意味着创建一个新的“C/C++远程应用程序”调试配置,然后在调试器>连接选项卡下,输入TCP / localhost / 12345(或您选择的任何端口)。这样,您就可以在Eclipse中进行调试,而您的应用程序具有特权访问。
好的,所以我遇到了一些困难,于是我想把答案结合起来进行总结。
简单的解决方案就是按照建议使用sudo gdb命令,但要小心。你所做的是用root身份运行被调试的程序。这可能会导致它的操作方式与在命令行中以普通用户身份运行时不同。可能有点混淆。不过,我永远不会掉进这个陷阱...... 噢,我错了。
如果你使用sudo以root身份运行被调试的程序,或者被调试的程序已设置setuid位,则没问题。但如果被调试的程序是使用POSIX功能(setcap/getcap)运行的,则需要像Nick Huang建议的那样在bash和gdb中反映这些更细粒度的权限,而不仅仅是使用"sudo"强制执行权限。
做任何其他事情可能会让你陷入极端的学习之中。
gdb工作正常,它可以调试任何程序(包括这个)。 - Aidan Steelenfq_unbind_pf()返回了-1(并且errno设置为1),表示失败。 - Aidan Steele