最全Linux内核之capabilities能力,Linux运维编程基础培训

于 2024-05-12 12:44:20 发布
阅读量833 收藏 23
点赞数 12
分类专栏: 程序员 文章标签: 运维 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83621499/article/details/138752315
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前在阿里

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以点击这里获取!

<1>.通过ping pid查看当前进程的能力

grep Cap /proc/17640/status

CapInh: 0000000000000000

CapPrm: 0000000000003000

CapEff: 0000000000000000

CapBnd: 0000003fffffffff

CapAmb: 0000000000000000

<2>.通过capsh命令解码当前进程能力:CapPrm: 0000000000003000

capsh --decode=0000000000003000

0x0000000000003000=cap_net_admin,cap_net_raw

ping被赋予的能力为:cap_net_admin,cap_net_raw

3.通过工具查看进程能力

<1>.通过strace查看ping能力

sudo strace builddir/ping/ping -c 1 wwwww.baidu.com

capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, NULL) = 0

capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, {effective=0, permitted=1<<CAP_NET_ADMIN|1<<CAP_NET_RAW, inheritable=0}) = 0

capset({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, {effective=1<<CAP_NET_RAW, permitted=1<<CAP_NET_ADMIN|1<<CAP_NET_RAW, inheritable=0}) = 0

好好理解下这个公式:

P’(effective) = F(effective) ? P’(permitted) : P’(ambient)

**Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作。在Capbilities中系统将根据进程拥有的能力来进行特权操作的访问控制。

在Capilities中,只有进程和可执行文件才具有能力,每个进程拥有三组能力集,分别称为cap_effective, cap_inheritable, cap_permitted(分别简记为:pE,pI,pP),其中cap_permitted表示进程所拥有的最大能力集;cap_effective表示进程当前可用的能力集,可以看做是cap_permitted的一个子集;而cap_inheitable则表示进程可以传递给其子进程的能力集。系统根据进程的cap_effective能力集进行访问控制,cap_effective为cap_permitted的子集,进程可以通过取消cap_effective中的某些能力来放弃进程的一些特权。可执行文件也拥有三组能力集,对应于进程的三组能力集,分别称为cap_effective, cap_allowed 和 cap_forced(分别简记为fE,fI,fP),其中,cap_allowed表示程序运行时可从原进程的cap_inheritable中集成的能力集,cap_forced表示运行文件时必须拥有才能完成其服务的能力集;而cap_effective则表示文件开始运行时可以使用的能力。**

一、Capabilities能力

Capabilities主要分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。

CAP_NET_ADMIN:允许执行网络管理任务

CAP_NET_RAW:允许使用原始套接字

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

//获取赋予的单一网络能力

sudo getcap /usr/bin/dumpcap

/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

wireshark

man capabilities

1.Linux内核从2.2版本开始,就加进的Capabilities的概念与机制,并随着版本升高逐步得到改进。

在linux中,root权限被分割成一下29中能力:

CAP_CHOWN:修改文件属主的权限

CAP_DAC_OVERRIDE:忽略文件的DAC访问限制

CAP_DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制

CAP_FOWNER:忽略文件属主ID必须和进程用户ID相匹配的限制

CAP_FSETID:允许设置文件的setuid位

CAP_KILL:允许对不属于自己的进程发送信号

CAP_SETGID:允许改变进程的组ID

CAP_SETUID:允许改变进程的用户ID

CAP_SETPCAP:允许向其他进程转移能力以及删除其他进程的能力

CAP_LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志

CAP_NET_BIND_SERVICE:允许绑定到小于1024的端口

CAP_NET_BROADCAST:允许网络广播和多播访问

CAP_NET_ADMIN:允许执行网络管理任务

CAP_NET_RAW:允许使用原始套接字

CAP_IPC_LOCK:允许锁定共享内存片段

CAP_IPC_OWNER:忽略IPC所有权检查

CAP_SYS_MODULE:允许插入和删除内核模块

CAP_SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备

CAP_SYS_CHROOT:允许使用chroot()系统调用

CAP_SYS_PTRACE:允许跟踪任何进程

CAP_SYS_PACCT:允许执行进程的BSD式审计

CAP_SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等

CAP_SYS_BOOT:允许重新启动系统

CAP_SYS_NICE:允许提升优先级及设置其他进程的优先级

CAP_SYS_RESOURCE:忽略资源限制

CAP_SYS_TIME:允许改变系统时钟

CAP_SYS_TTY_CONFIG:允许配置TTY设备

CAP_MKNOD:允许使用mknod()系统调用

CAP_LEASE:允许修改文件锁的FL_LEASE标志

Android中Capability定义位于kernel/include/uapi/linux/capability.h文件。

2.capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概述,即sudo可以配置某个用户可以执行某个命令,可以更改某个文件,而capability是让某个程序拥有某种能力,例如:

capability让/tmp/testkill程序可以kill掉其它进程,但它不能mount设备节点到目录,也不能重启系统,因为我们只指定了它kill的能力,即使程序有问题也不会超出能力范围.

3.每个进程有三个和能力有关的位图:inheritable(I),permitted§和effective(E),对应进程描述符task_struct(include/linux/sched.h)里面的cap_effective, cap_inheritable, cap_permitted,所以我们可以查看/proc/PID/status来查看进程的能力.

4.cap_effective:当一个进程要进行某个特权操作时,操作系统会检查cap_effective的对应位是否有效,而不再是检查进程的有效UID是否为0.

例如,如果一个进程要设置系统的时钟,Linux的内核就会检查cap_effective的CAP_SYS_TIME位(第25位)是否有效.

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前在阿里

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以点击这里获取!

71)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化的资料的朋友,可以点击这里获取!

2401_83621499
关注
  • 12
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 启动等待3s,Android启动流程简析(三)
weixin_36440319的博客
05-28 624
7. SystemServer启动介绍SystemServer需要从Zygote fork SystemServer开始分析,主要是设置参数,然后调用Zygote的forkSystemServer方法,再判断是否有SecondaryZygote启动,有则等待其启动,无则返回private static Runnable forkSystemServer(String abiList, String...
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2791
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
介绍-Linux capability机制
ty的专栏
03-05 4938
Linuxcapability机制进行详细介绍,并带有例子代码,说明一个普通进程如何获取某项权限。
Linux使用timer唤醒AP的方法
a2591748032的博客
02-15 214
Linux使用timer唤醒AP的方法
linux 提权总结
最新发布
weixin_51681694的博客
06-13 6852
会继续补充.....
Linux系统下Capabilities机制的改进与完善.pdf
09-06
"Linux系统下Capabilities机制的改进与完善" Linux系统下Capabilities机制的改进与完善是指在Linux操作系统Capabilities机制的改进和完善,以提高Linux系统的安全性。Capabilities机制Linux操作系统对特权...
Linux下的Capabilities安全机制分析.pdf
09-07
Linux下的Capabilities安全机制分析.pdf
Linux下的Capabilities安全机制的分析与完善.pdf
09-07
Linux下的Capabilities安全机制的分析与完善.pdf
Linux 应急响应手册v1.3 发行版-s1
08-04
* capabilitiesLinux 操作系统用于管理进程权限的命令行工具。 * iptables:Linux 操作系统用于配置防火墙的命令行工具。 * ASLR:Address Space Layout Randomization,Linux 操作系统用于随机化加载地址的...
基于LSM架构对Linux文件系统进行安全性增强.pdf
09-07
Linux内核只提供了经典的UNIX自主访问控制,部分支持了POSIX.1e标准草案capabilities安全机制,这对于Linux系统的安全性是不足够的,影响了Linux系统的进一步发展和更广泛的应用。 Linux安全模块(LSM)是...
Unix/Linux编程:进程资源限制
OceanStar的博客
01-05 1614
sysconf 获取进程默认可以打开的最大文件描述符数 #include <errno.h> #include <limits.h> #include <unistd.h> #include <stdio.h> #ifdef OPEN_MAX static long openmax = OPEN_MAX #else static long openmax = 0; #endif /* if OPEN_MAX is indeterminate, this
linux Capabilities简介--#setcap cap_net_raw,cap_net_admin=eip /a.out
热门推荐
Eighty_Nine的博客
12-01 2万+
转自:https://zhidao.baidu.com/question/459061673954720405.htmlLinux是一种安全操作系统,它给普通用户尽可能低的权限,而把全部的系统权限赋予一个单一的帐户--root。root帐户用来管理系统、安装软件、管理帐户、运行某些服务、安装/卸载文件系统、管理用户、安装软件等。另外,普通用户的很多操作也需要root权限,这通过setuid实现。这种
capsh 赋予capability 实现特殊操作
weixin_40455124的博客
12-10 1103
可以给普通用户capsh 赋予capability 实现特殊操作,避免使用sudo权限 ,如使用setuser,当然这样也有一定安全风险,赋予的用户应该是原计划给予sudo的用户。 如下为测试netstat 的代码,如果要更安全,可以是golang等语言开发定制user列表等的控制,比如禁止set为root用户。 [xiehq@140 ~]$ getcap ./capsh ./capsh = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,
[转载] Linuxcapability深入分析
a172742451的专栏
04-21 2681
[转载] Linuxcapability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
Linux Capabilities 入门教程:基础实战篇
云原生实验室
11-05 2202
该系列文章总共分为三篇: Linux Capabilities 入门教程:概念篇 Linux Capabilities 入门教程:基础实战篇 待续... 上篇文章介绍了 Linux capabilities 的诞生背景和基本原理,本文将会通过具体的示例来展示如何查看和设置文件的 capabilitiesLinux 系统主要提供了两种工具来管理 capabilities:libcap ...
capabilities: ambient capabilities说明
cui841923894的博客
09-04 3995
linux capability介绍 最早之前,linux对任务权限分为privileged processes(UID等于0,属于超级用户或者root用户)和unprivileged processes(UID非0)。privileged processes拥有系统的所有权限,而unprivileged processes拥有部分权限(根据进程凭证,比如effective UID, effec...
capabilities linux
06-08
Linux 操作系统capabilities 是一种精细的权限管理机制,它允许应用程序仅获得所需的最小权限,而不是以 root 用户的身份运行整个应用程序。这种权限管理机制可以提高系统的安全性和可靠性。 在 Linux capabilities 可以通过两种方式来实现:一种是使用 POSIX capabilities,另一种是使用 Linux capabilities。两种方法的具体实现略有不同,但都可以实现类似的权限管理功能。 使用 capabilities 可以将一些特权操作的权限分离开来,例如挂载文件系统、更改时间戳、执行系统调用等等。这样可以提高系统的安全性,避免应用程序在运行过程误操作导致系统崩溃或数据丢失等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值