capabilities - Linux のケーパビリティ (capability) の概要
ケーパビリティとはrootユーザが持っている権限を細分化し,必要な権限だけを一般ユーザへ与える仕組みのこと。
ケーパビリティを学ぶ上で理解しておきたい概念が下記の4つ
- Inheritable execve(2) の前後で引き継がれるケーパビリティ
- Permitted 実効ケーパビリティセットに追加することができるセット。ここから落ちたケーパビリティはどう頑張っても実効状態にできない
- Effectve 実効ケーパビリティセット。実際にそのスレッドで利用できるケーパビリティの集合
- Ambient 特権のない(setuid/setgidされていない)プログラムをexecve(2)した際に子プロセスに継承されるケーパビリティセット
