Linux capabilities

Posted on Posted in IT信息

更改:/etc/security/capability.conf

sysadmin用户有的能力在应用程序中 在应用程序加载的时候加ei

sysadmin中不存在的能力没有的加ep

 

 

 

failog (/tmp/login.log) 切换到audadmin用户或增加CAP_DAC_OVERRIDE能力
mii-tool (/tmp/link_detected.log) 能力? 增加CAP_NET_ADMIN能力或切换到netadmin用户
failog (/tmp/login.log) 切换到audadmin用户或增加CAP_DAC_OVERRIDE能力
序号 Capabilities list:
(能力列表)
Function
(实现功能)
/*标红的相关能力,暂未找到相关内容,直接翻译Man Page里的内容*/
1 CAP_AUDIT_CONTROL Enable and disable kernel auditing; change auditing filter rules; (启用和禁用内核审计;更改审计过滤规则)
Retrieve auditing status and filtering rules.
2 CAP_AUDIT_READ Allow reading the audit log via a multicast netlink socket(允许读取审计日志,通过组播Netlink套接字)
3 CAP_AUDIT_WRITE Write records to kernel auditing log(写入内核审计日志的记录)
4 CAP_BLOCK_SUSPEND Employ features that can block system suspend (使用可以阻止系统挂起的功能)
(epoll(7)EPOLLWAKEUP, /proc/sys/wake_lock).
5 CAP_CHOWN 允许改变文件的所有权
6 CAP_DAC_OVERRIDE 忽略对文件的所有DAC访问限制
7 CAP_DAC_READ_SEARCH 忽略所有对读、搜索、操作的限制
8 CAP_FOWNER 如果文件属于进程的UID,就取消对文件的限制
9 CAP_FSETID 允许设置setuid位
10 CAP_IPC_LOCK 允许锁定共享内存片段
11 CAP_IPC_OWNER 忽略IPC所有权检查
12 CAP_KILL 允许对不属于自己的进程发送信号
13 CAP_lEASE 允许在文件上建立租借锁
14 CAP_lINUX_IMMUTABLE 允许修改文件的不可修改(IMMUTABLE)和只添加(APPEND-ONLY)属性
15 CAP_MAC_OVERRIDE Allow MAC configuration or state changes. Implemented for the Smack LSM
(允许的配置或状态的变化。实施Smack LSM)
16 CAP_MKNOD 允许使用mknod()系统调用
17 CAP_NET_ADMIN 允许执行网络管理任务:接口、防火墙和路由等,详情请参考/usr/src/Linux/include/Linux/capability.h文件
18 CAP_NET_BIND_SERVICE 允许绑定到小于1024的端口
19 CAP_NET_BROADCAST 允许网络广播和多访问
20 CAP_NET_RAW 允许使用原始(raw)套接字
21 CAP_SETGID 允许改变组ID
22 CAP_SETFCAP 允许在指定的程序上授权能力给其它程序
23 CAP_SETPCAP 允许向其它进程转移能力以及删除其它进程的任意能力
24 CAP_SETUID 允许改变用户ID
25 CAP_SYS_ADMIN 允许执行系统管理任务:加载/卸载文件系统、设置磁盘配额、开/关交换设备和文件等。
详情请参考/usr/src/Linux/include/Linux/capability.h文件。
26 CAP_SYS_BOOT 允许重新启动系统
27 CAP_SYS_CHROOT 允许使用chroot()系统调用
28 CAP_SYS_MODULE 插入和删除内核模块
29 CAP_SYS_NICE 允许提升优先级,设置其它进程的优先级
30 CAP_SYS_PACCT 允许配置进程记帐(process accounting)
31 CAP_SYS_PTRACE 允许跟踪任何进程
32 CAP_SYS_RAWIO 允许对ioperm/iopl的访问
33 CAP_SYS_RESOURCE 忽略资源限制
34 CAP_SYS_TIME 允许改变系统时钟
35 CAP_SYS_TTY_CONFIG 允许配置TTY设备
36 CAP_SYSLOG Perform privileged syslog(2) operations. See syslog(2) for information on which operations require privilege.
执行特权操作日志(2)。看到syslog(2)信息的操作需要特权
View kernel addresses exposed via /proc and other interfaces when /proc/sys/kernel/kptr_restrict has the value 1.
查看内核地址通过 /proc 和其他接口在 /proc / 系统/内核/ kptr_restrict的值为1。
37 CAP_WAKE_ALARM Trigger something that will wake up the system
触发一些会唤醒系统的东西,↓
(set CLOCK_REALTIME_ALARM and CLOCK_BOOTTIME_ALARM timers).

 

 

 

 

发表评论