Linux内核之capabilities能力

cap_fsetid,

cap_kill,

cap_setgid,

cap_setuid,

cap_setpcap,

cap_linux_immutable,

cap_net_bind_service,

cap_net_broadcast,

cap_net_admin,

cap_net_raw,

cap_ipc_lock,

cap_ipc_owner,

cap_sys_module,

cap_sys_rawio,

cap_sys_chroot,

cap_sys_ptrace,

cap_sys_pacct,

cap_sys_admin,

cap_sys_boot,

cap_sys_nice,

cap_sys_resource,

cap_sys_time,

cap_sys_tty_config,

cap_mknod,

cap_lease,

cap_audit_write,

cap_audit_control,

cap_setfcap,

cap_mac_override,

cap_mac_admin,

cap_syslog,

cap_wake_alarm,

cap_block_suspend,

cap_audit_read

Securebits: 00/0x0/1’b0

secure-noroot: no (unlocked)

secure-no-suid-fixup: no (unlocked)

secure-keep-caps: no (unlocked)

uid=1000(ubuntu)

gid=1000(ubuntu)

groups=4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare),1000(ubuntu)

2.ping能力测试

ping wwwww.baidu.com > /dev/null&

[1] 17640

<1>.通过ping pid查看当前进程的能力

grep Cap /proc/17640/status

CapInh: 0000000000000000

CapPrm: 0000000000003000

CapEff: 0000000000000000

CapBnd: 0000003fffffffff

CapAmb: 0000000000000000

<2>.通过capsh命令解码当前进程能力：CapPrm: 0000000000003000

capsh --decode=0000000000003000

0x0000000000003000=cap_net_admin,cap_net_raw

ping被赋予的能力为：cap_net_admin,cap_net_raw

3.通过工具查看进程能力

<1>.通过strace查看ping能力

sudo strace builddir/ping/ping -c 1 wwwww.baidu.com

capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, NULL) = 0

capget({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, {effective=0, permitted=1<<CAP_NET_ADMIN|1<<CAP_NET_RAW, inheritable=0}) = 0

capset({version=_LINUX_CAPABILITY_VERSION_3, pid=0}, {effective=1<<CAP_NET_RAW, permitted=1<<CAP_NET_ADMIN|1<<CAP_NET_RAW, inheritable=0}) = 0

好好理解下这个公式：

P’(effective) = F(effective) ? P’(permitted) : P’(ambient)

**Capabilities的主要思想在于分割root用户的特权，即将root的特权分割成不同的能力，每种能力代表一定的特权操作。例如：能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作，而CAP_SETUID表示用户能够修改进程用户身份的特权操作。在Capbilities中系统将根据进程拥有的能力来进行特权操作的访问控制。

在Capilities中，只有进程和可执行文件才具有能力，每个进程拥有三组能力集，分别称为cap_effective, cap_inheritable, cap_permitted(分别简记为:pE,pI,pP)，其中cap_permitted表示进程所拥有的最大能力集；cap_effective表示进程当前可用的能力集，可以看做是cap_permitted的一个子集；而cap_inheitable则表示进程可以传递给其子进程的能力集。系统根据进程的cap_effective能力集进行访问控制，cap_effective为cap_permitted的子集，进程可以通过取消cap_effective中的某些能力来放弃进程的一些特权。可执行文件也拥有三组能力集，对应于进程的三组能力集，分别称为cap_effective, cap_allowed 和 cap_forced（分别简记为fE,fI,fP），其中，cap_allowed表示程序运行时可从原进程的cap_inheritable中集成的能力集，cap_forced表示运行文件时必须拥有才能完成其服务的能力集；而cap_effective则表示文件开始运行时可以使用的能力。**

一、Capabilities能力

Capabilities主要分割root用户的特权，即将root的特权分割成不同的能力，每种能力代表一定的特权操作。

CAP_NET_ADMIN:允许执行网络管理任务

CAP_NET_RAW:允许使用原始套接字

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

//获取赋予的单一网络能力

sudo getcap /usr/bin/dumpcap

/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

wireshark

man capabilities

1.Linux内核从2.2版本开始，就加进的Capabilities的概念与机制，并随着版本升高逐步得到改进。

在linux中，root权限被分割成一下29中能力：

CAP_CHOWN:修改文件属主的权限

CAP_DAC_OVERRIDE:忽略文件的DAC访问限制

CAP_DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制

CAP_FOWNER：忽略文件属主ID必须和进程用户ID相匹配的限制

CAP_FSETID:允许设置文件的setuid位

CAP_KILL:允许对不属于自己的进程发送信号

CAP_SETGID:允许改变进程的组ID

CAP_SETUID:允许改变进程的用户ID

CAP_SETPCAP:允许向其他进程转移能力以及删除其他进程的能力

CAP_LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志

CAP_NET_BIND_SERVICE:允许绑定到小于1024的端口

CAP_NET_BROADCAST:允许网络广播和多播访问

CAP_NET_ADMIN:允许执行网络管理任务
自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

读者福利

更多笔记分享

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！
tyle=“zoom: 33%;” />

读者福利

[外链图片转存中…(img-1xhwW5Jp-1713219041007)]

更多笔记分享

[外链图片转存中…(img-rQVq96Jm-1713219041008)]

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！