更改:/etc/security/capability.conf
sysadmin用户有的能力在应用程序中 在应用程序加载的时候加ei
sysadmin中不存在的能力没有的加ep
| failog (/tmp/login.log) | 切换到audadmin用户或增加CAP_DAC_OVERRIDE能力 |
| mii-tool (/tmp/link_detected.log) | 能力? | 增加CAP_NET_ADMIN能力或切换到netadmin用户 |
| failog (/tmp/login.log) | 切换到audadmin用户或增加CAP_DAC_OVERRIDE能力 |
| 序号 | Capabilities list: (能力列表) |
Function (实现功能) /*标红的相关能力,暂未找到相关内容,直接翻译Man Page里的内容*/ |
| 1 | CAP_AUDIT_CONTROL | Enable and disable kernel auditing; change auditing filter rules; (启用和禁用内核审计;更改审计过滤规则) Retrieve auditing status and filtering rules. |
| 2 | CAP_AUDIT_READ | Allow reading the audit log via a multicast netlink socket(允许读取审计日志,通过组播Netlink套接字) |
| 3 | CAP_AUDIT_WRITE | Write records to kernel auditing log(写入内核审计日志的记录) |
| 4 | CAP_BLOCK_SUSPEND | Employ features that can block system suspend (使用可以阻止系统挂起的功能) (epoll(7)EPOLLWAKEUP, /proc/sys/wake_lock). |
| 5 | CAP_CHOWN | 允许改变文件的所有权 |
| 6 | CAP_DAC_OVERRIDE | 忽略对文件的所有DAC访问限制 |
| 7 | CAP_DAC_READ_SEARCH | 忽略所有对读、搜索、操作的限制 |
| 8 | CAP_FOWNER | 如果文件属于进程的UID,就取消对文件的限制 |
| 9 | CAP_FSETID | 允许设置setuid位 |
| 10 | CAP_IPC_LOCK | 允许锁定共享内存片段 |
| 11 | CAP_IPC_OWNER | 忽略IPC所有权检查 |
| 12 | CAP_KILL | 允许对不属于自己的进程发送信号 |
| 13 | CAP_lEASE | 允许在文件上建立租借锁 |
| 14 | CAP_lINUX_IMMUTABLE | 允许修改文件的不可修改(IMMUTABLE)和只添加(APPEND-ONLY)属性 |
| 15 | CAP_MAC_OVERRIDE | Allow MAC configuration or state changes. Implemented for the Smack LSM (允许的配置或状态的变化。实施Smack LSM) |
| 16 | CAP_MKNOD | 允许使用mknod()系统调用 |
| 17 | CAP_NET_ADMIN | 允许执行网络管理任务:接口、防火墙和路由等,详情请参考/usr/src/Linux/include/Linux/capability.h文件 |
| 18 | CAP_NET_BIND_SERVICE | 允许绑定到小于1024的端口 |
| 19 | CAP_NET_BROADCAST | 允许网络广播和多访问 |
| 20 | CAP_NET_RAW | 允许使用原始(raw)套接字 |
| 21 | CAP_SETGID | 允许改变组ID |
| 22 | CAP_SETFCAP | 允许在指定的程序上授权能力给其它程序 |
| 23 | CAP_SETPCAP | 允许向其它进程转移能力以及删除其它进程的任意能力 |
| 24 | CAP_SETUID | 允许改变用户ID |
| 25 | CAP_SYS_ADMIN | 允许执行系统管理任务:加载/卸载文件系统、设置磁盘配额、开/关交换设备和文件等。 详情请参考/usr/src/Linux/include/Linux/capability.h文件。 |
| 26 | CAP_SYS_BOOT | 允许重新启动系统 |
| 27 | CAP_SYS_CHROOT | 允许使用chroot()系统调用 |
| 28 | CAP_SYS_MODULE | 插入和删除内核模块 |
| 29 | CAP_SYS_NICE | 允许提升优先级,设置其它进程的优先级 |
| 30 | CAP_SYS_PACCT | 允许配置进程记帐(process accounting) |
| 31 | CAP_SYS_PTRACE | 允许跟踪任何进程 |
| 32 | CAP_SYS_RAWIO | 允许对ioperm/iopl的访问 |
| 33 | CAP_SYS_RESOURCE | 忽略资源限制 |
| 34 | CAP_SYS_TIME | 允许改变系统时钟 |
| 35 | CAP_SYS_TTY_CONFIG | 允许配置TTY设备 |
| 36 | CAP_SYSLOG | Perform privileged syslog(2) operations. See syslog(2) for information on which operations require privilege. 执行特权操作日志(2)。看到syslog(2)信息的操作需要特权 View kernel addresses exposed via /proc and other interfaces when /proc/sys/kernel/kptr_restrict has the value 1. 查看内核地址通过 /proc 和其他接口在 /proc / 系统/内核/ kptr_restrict的值为1。 |
| 37 | CAP_WAKE_ALARM | Trigger something that will wake up the system 触发一些会唤醒系统的东西,↓ (set CLOCK_REALTIME_ALARM and CLOCK_BOOTTIME_ALARM timers). |