type
status
date
slug
summary
tags
category
icon
password
URL
什么是 Capabilities
从 Linux 2.2开始,Linux 将传统上与超级用户相关的特权划分为不同的单元,称为 Capabilities,可以独立启用和禁用
常见的 Capabilities 列表
CAP_CHOWN- 允许更改文件的所有者(
chown)。
CAP_DAC_OVERRIDE- 绕过文件读取、写入和执行权限检查。
CAP_DAC_READ_SEARCH- 绕过对文件只读和目录遍历的权限检查。
CAP_FOWNER- 绕过对文件所有者的一些权限限制(如强制锁)。
CAP_FSETID- 文件的
setuid和setgid位在某些情况下不会被清除。
CAP_KILL- 可以向任何进程发送信号,而不仅仅是属于自己的进程。
CAP_SETGID- 允许设置进程的组 ID(
setgid)。
CAP_SETUID- 允许设置进程的用户 ID(
setuid)。
CAP_NET_BIND_SERVICE- 允许绑定到小于 1024 的端口号(如 HTTP 使用的 80 端口)。
CAP_NET_RAW- 允许使用原始套接字和一些网络操作(如
ping)。
CAP_SYS_CHROOT- 允许使用
chroot来更改根文件系统。
CAP_SYS_ADMIN- 非常强大的权限,允许执行很多系统管理操作(包括挂载和卸载文件系统、加载内核模块等)。
CAP_SYS_BOOT- 允许重启或关闭系统。
CAP_SYS_MODULE- 允许加载和卸载内核模块。
CAP_SYS_NICE- 允许更改进程优先级。
CAP_SYS_PACCT- 允许打开或关闭进程会计功能。
CAP_SYS_PTRACE- 允许追踪和调试其他进程。
CAP_SYS_RAWIO- 允许直接执行 I/O 操作。
CAP_SYS_RESOURCE- 允许增加资源限制(如内存锁定、设置超高的进程优先级等)。
CAP_SYS_TIME- 允许更改系统时间。
CAP_SYS_TTY_CONFIG- 允许配置 TTY 设备。
CAP_AUDIT_CONTROL- 允许开启、关闭、配置审计系统。
CAP_AUDIT_WRITE- 允许将记录写入审计日志。
CAP_MKNOD- 允许使用
mknod创建特殊文件(设备文件)。
CAP_LEASE- 允许对文件设置租约(lease)。
CAP_LINUX_IMMUTABLE- 允许设置 / 清除文件的不可修改标志(
immutable)。
CAP_IPC_LOCK- 允许锁定共享内存。
CAP_IPC_OWNER- 绕过某些 IPC 权限检查。
CAP_SYSLOG- 允许对
kernelsyslog进行操作(控制系统日志行为)。
CAP_WAKE_ALARM- 允许唤醒系统(通过唤醒事件)。
CAP_BLOCK_SUSPEND- 允许阻止系统进入挂起状态。
CAP_PERFMON- 允许执行性能监控和观测任务。
CAP_BPF- 允许加载、卸载和查看 BPF 程序。
CAP_CHECKPOINT_RESTORE- 允许进行进程的检查点和恢复操作。
以上这些翻译,取之 ChatGPT
获取 Capabilities 列表
方法一
可以看到 Capabilities 对应的编码
方法二
它不会给出完整的 Capabilities 列表,但可以展示当前系统可用的 Capabilities
方法三
官方的 man 手册