Effectuer en toute sécurité TCP traceroute de la demande de l'utilisateur

Je dois effectuer un traceroute TCP en utilisant soit le traceroute Linux, soit un autre paquet, mais j'ai du mal à trouver le moyen de faire la requête depuis PHP sans avoir besoin de privilèges sudo.

Parce que l'URL proviendra d'une requête utilisateur, je ne souhaite pas utiliser sudo.

Voici un exemple:

 $url = 'ebay.com';
 $exec = 'sudo traceroute -w 1 -q 1 -T ' . $url;
 $escaped_command = escapeshellcmd($exec);
 $result = shell_exec($escaped_command);

 echo $result;
 var_dump($result);

Ce code fonctionne, mais seulement avec sudoou sans -T. Sans sudocela, il retourne une chaîne vide. Sans -Tle traceroute ne survit pas aux pare-feu.

Si cela peut aider, je suis sur un OS Centos 7.

Remarque: je ne peux pas utiliser UDP au lieu de TCP car il est souvent bloqué par le pare-feu de destination.

Vous ne pouvez pas utiliser sudo depuis PHP, car Apache ne vous laissera pas faire cela pour des raisons de sécurité. Vous devez implémenter traceroute en PHP dans votre code.

Plusieurs de ces implémentations se trouvent dans le domaine public.

Voir par exemple:

En créant un programme traceroute en PHP , le code est disponible sur github .

Une autre approche pour éviter sudo pour traceroute repose sur le fait que traceroute ne doit pas nécessairement être exécuté en tant que racine; il a juste besoin de la capacité CAP_NET_ADMIN. Pour définir cela comme capacité de fichier pour tous les utilisateurs, si votre noyau prend en charge les capacités de fichier et qu'aucun module de sécurité Linux (SELinux, AppArmor) ne la bloque:

setcap CAP_NET_ADMIN+ep /usr/sbin/traceroute

Le code PHP peut alors être très simple en utilisant popen():

$handle = popen("traceroute www.xxx.com 2>&1", "r");
while(!feof($handle)) {
    $buffer = fgets($handle);
    $buffer = "<p>".$buffer."</p>\n";
    echo $buffer;
}
pclose($handle);