Linux ケーパビリティ
Linuxのケーパビリティ(Capability)について
特権プロセスか非特権プロセスかという分け方は大雑把すぎるのでより細かく実行能力を分けるようにしたアクセス制御の仕組み
Linux 2.2以降でケーパビリティの仕組みができた
以下はケーパビリティの一部
CAP_CHOWN
ファイルの所有者(UID)とグループ(GID)を変更する能力
CAP_NET_BIND_SERVICE
1024未満のポートにバインドする能力
CAP_KILL
他のプロセスを終了またはシグナル送信する能力
CAP_SYS_TIME
システム時刻の変更能力
CAP_NET_ADMIN
各種のネットワーク関係の操作能力
libcapライブラリがケーパビリティ変更のAPIを持っている
確認用
Q. ケーパビリティとは
参考
Capability · Container Security Book
capabilities(7) - Linux manual page
Man page of CAPABILITIES
ケイパビリティ - ArchWiki
Linux Kernel Capability(Linuxカーネルケーパビリティ)に関して(2020年版) – Part1
第42回Linuxカーネルのケーパビリティ[1]
関連
AppArmor
コマンドとかプロセスを実行する(システムコール系)
アクセス制御リスト(ACL)
コンテナでのセキュリティ
#Linux #セキュリティ