docker触ってると気にしがちなケーパビリティ。
それぞれどんなのだっけって都度ググってるのでメモ
| Capability Key | Capability Description |
|---|---|
| SETPCAP | process capabilities の変更 |
| SYS_MODULE | kernel modules のロードまたはアンロード |
| SYS_RAWIO | I/O port の操作(iopl(2) and ioperm(2)). USB message とか |
| SYS_PACCT | acct(2) を使って, process accounting on or off のスイッチが可能 |
| SYS_ADMIN | System Admin の操作範囲の実行 |
| SYS_NICE | プロセス nice 値 (nice(2), setpriority(2)) を上げる、および 任意のプロセスの nice 値の変更 |
| SYS_RESOURCE | リソース制限の上書き. |
| SYS_TIME | System clock (settimeofday(2), stime(2), adjtimex(2)) の設定; real-time (hardware) clock の設定 |
| SYS_TTY_CONFIG | vhangup(2) の実行; employ various privileged ioctl(2) operations on virtual terminals. |
| MKNOD | mknod(2) を利用して special files の作成 |
| AUDIT_WRITE | kernel auditing log への records の記載 |
| AUDIT_CONTROL | kernel auditing の有効化/無効化; auditing filter rules の変更; auditing status と filtering rules の取得 |
| MAC_OVERRIDE | MAC configuration の許可または state の変更. Smack LSM で実装されている |
| MAC_ADMIN | Mandatory Access Control (MAC) の上書き. Smack Linux Security Module (LSM) で実装されている. |
| NET_ADMIN | various network-related operations の実行 |
| SYSLOG | privileged syslog(2) operations の実行 |
| CHOWN | file UIDs and GIDs (see chown(2)) の任意の変更 |
| NET_RAW | RAW と PACKET sockets の利用 |
| DAC_OVERRIDE | file read, write, and execute permission check のバイパス. |
| FOWNER | Bypass permission checks on operations that normally require the file system UID of the process to match the UID of the file. |
| DAC_READ_SEARCH | ファイル読み込みおよび直接読み込みと実行の権限チェックのバイパス |
| FSETID | ファイルが修正された時に set-user-ID と set-group-ID の権限ビットをクリアしない |
| KILL | シグナル送信の時に権限チェックをバイパスする |
| SETGID | プロセス GID および 補助 GID の任意の操作 |
| SETUID | プロセス UID の任意の操作 |
| LINUX_IMMUTABLE | FS_APPEND_FL and FS_IMMUTABLE_FL i-node flags の付与 |
| NET_BIND_SERVICE | 特権ポートでのインターネットへのソケットの利用 |
| NET_BROADCAST | broadcast ソケットの作成とマルチキャストへの listen |
| IPC_LOCK | Lock memory (mlock(2), mlockall(2), mmap(2), shmctl(2)). |
| IPC_OWNER | operations on System V IPC objects の権限チェックのバイパス |
| SYS_CHROOT | chroot(2), change root directory の許可 |
| SYS_PTRACE | ptrace(2) を利用した任意のプロセスの trace |
| SYS_BOOT | reboot(2) and kexec_load(2) を利用して reboot と新しいカーネルのロード load |
| LEASE | 任意のファイルのリース Establish (see fcntl(2)). |
| SETFCAP | file capabilities のセット. |
| WAKE_ALARM | システム起動に対してトリガーを送る |
| BLOCK_SUSPEND | block system をサスペンドさせるような機能を適用する |
