Linux capabilities

root権限を細かく分割して，特定の権限のみを与えるためのもの． root権限が必要な操作を含む場合，本来ならば当然root権限で実行する必要があるが，その実行は本来必要でない操作への権限(root権限なのでね)も持ってしまっているため，もし脆弱性があった場合非常に危険であるが，これを使うとその問題が避けられる

例

CAP_DAC_OVERRIDE ファイルの read, write, execute パーミッションのチェックをバイパスする。
CAP_DAC_READ_SEARCH ファイルの read とディレクトリの read と execute のパーミッションチェックをバイパスする。
CAP_KILL シグナルを送るときの権限チェックをバイパスする。
CAP_NET_BIND_SERVICE 特権ポートにソケットをバインドできる。
CAP_SYS_TIME システムの時刻を設定できる。．

File capabilities

実行ファイルに capabilities を持たせる方法．注意点として，この方法だと起動したユーザによらずプロセスがcapabilitiesを持つことになる．

CAP_NET_BIND_SERVICEを与える例

$ sudo setcap 'cap_net_bind_service=+ep' [path to file]
$ getcap [path to file]
[path to file] = cap_net_bind_service+ep

Ambient capabilities

init(=systemd として良いのか?)から起動するようなプロセス(デーモン)に対して capabilitiesを持たせる方法．

参照

http://matope.hatenablog.com/entry/2014/09/28/031155 https://nojima.hatenablog.com/entry/2016/12/03/000000 https://linuxjm.osdn.jp/html/LDP_man-pages/man7/capabilities.7.html https://source.android.com/devices/tech/config/ambient