地方エンジニアの学習日記

興味ある技術の雑なメモだったりを書いてくブログ。たまに日記とガジェット紹介。

capabilities

capabilities - Linux のケーパビリティ (capability) の概要

ケーパビリティとはrootユーザが持っている権限を細分化し,必要な権限だけを一般ユーザへ与える仕組みのこと。

ケーパビリティを学ぶ上で理解しておきたい概念が下記の4つ

  • Inheritable execve(2) の前後で引き継がれるケーパビリティ
  • Permitted 実効ケーパビリティセットに追加することができるセット。ここから落ちたケーパビリティはどう頑張っても実効状態にできない
  • Effectve 実効ケーパビリティセット。実際にそのスレッドで利用できるケーパビリティの集合
  • Ambient 特権のない(setuid/setgidされていない)プログラムをexecve(2)した際に子プロセスに継承されるケーパビリティセット

tenforward.hatenablog.com

manpages.ubuntu.com