本文详细介绍了Linux Capabilities机制,包括SUID概念、Capabilities的引入及其原理,以及线程和文件capabilities的区别。同时,讨论了如何应用Capabilities,如查看和设置文件capabilities,并通过实例展示了如何为可执行文件分配capabilities。
目录
1.3 线程capabilities和文件capabilities
一.Linux Capabilities
1.1 SUID
SUID的概念比较晦涩难懂,举个例子就明白了,以常用的
passwd命令为例,修改用户密码是需要 root 权限的,但普通用户却可以通过这个命令来修改密码,这就是因为/bin/passwd被设置了SUID标识,所以普通用户执行 passwd 命令时,进程的 owner 就是 passwd 的所有者,也就是 root 用户。
在linux系统中作为普通用户,如果想执行某些只有管理员才有权限的操作,以前只有两种办法:一是通过
sudo提升权限;二是通过SUID来实现,它可以让普通用户允许一个owner为 root 的可执行文件时具有 root 的权限。
1.2 Capabilities
为了对 root 权限进行更细粒度的控制,实现按需授权,Linux 引入了另一种机制叫
capabilities,从内核 2.2 开始,Linux 将传统上与超级用户 root 关联的特权划分为不同的单元,称为 capabilites。
原理:将之前与超级用户 root(UID=0)关联的特权细分为不同的功能组,Capabilites 作为线程(Linux 并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。 将root用户的权限给普通用户
| capability 名称 | 描述 |
|---|---|
| CAP_AUDIT_CONTROL | 启用和禁用内核审计;改变审计过滤规则;检索审计状态和过滤规则 |
| CAP_AUDIT_READ | 允许通过 multicast netlink 套接字读取审计日志 |
| CAP_AUDIT_WRITE | 将记录写入内核审计日志 |
| CAP_BLOCK_SUSPEND | 使用可以阻止系统挂起的特性 |
| CAP_CHOWN | 修改文件所有者的权限 |
| CAP_DAC_OVERRIDE | 忽略文件的 DAC 访问限制 |
| CAP_DAC_READ_SEARCH | 忽略文件读及目录搜索的 DAC 访问限制 |
| CAP_FOWNER | 忽略文件属主 ID 必须和进程用户 ID 相匹配的限制 |
| CAP_FSETID | 允许设置文件的 setuid 位 |
| CAP_IPC_LOCK | 允许锁定共享内存片段 |
| CAP_IPC_OWNER | 忽略 IPC 所有权检查 |
| CAP_KILL | 允许对不属于自己的进程发送信号 |
| CAP_LEASE | 允许修改文件锁的 FL_LEASE 标志 |
| CAP_LINUX_IMMUTABLE | 允许修改文件的 IMMUTABLE 和 APPEND 属性标志 |
| CAP_MAC_ADMIN | 允许 MAC 配置或状态更改 |
| CAP_MAC_OVERRIDE | 忽略文件的 DAC 访问限制 |
最低0.47元/天 解锁文章
扫一扫
8854
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
