2. 程式人生 > 其它 >linux系統程式設計之特權(Capabilities)程式、程序

linux系統程式設計之特權(Capabilities)程式、程序

阿新 發佈:2021-10-04

在系統程式設計中,經常會看到特權程式、程序一說,特權指的是一種能力。官方定義:Linux capabilities are special attributes in the Linux kernel that grant processes and binary executables specific privileges that are normally reserved for processes whose effective user ID is 0 (The root user, and only the root user, has UID 0).

跟sudo的作用是類似的。

通過

man 7 capabilities可以檢視所有的各種能力。

CAPABILITIES(7)                                                                  Linux Programmer's Manual                                                                 CAPABILITIES(7)

NAME
       capabilities - overview of Linux capabilities

DESCRIPTION
       For  the  purpose  of  performing  permission checks, traditional UNIX implementations distinguish two categories of processes: privileged processes (whose effective user ID is 
 
0,
       referred to as superuser or root), and unprivileged processes (whose effective UID is nonzero).  Privileged processes bypass all kernel permission checks, while unprivileged  pro-
       cesses are subject to full permission checking based on the process's credentials (usually: effective UID, effective GID, and supplementary group list).
 


       Starting  with  kernel 2.2, Linux divides the privileges traditionally associated with superuser into distinct units, known as capabilities, which can be independently enabled and
       disabled.  Capabilities are a per-thread attribute.

   Capabilities list
       The following list shows the capabilities implemented on Linux, and the operations or behaviors that each capability permits:

       CAP_AUDIT_CONTROL (since Linux 2.6.11)
              Enable and disable kernel auditing; change auditing filter rules; retrieve auditing status and filtering rules.

       CAP_AUDIT_WRITE (since Linux 2.6.11)
              Write records to kernel auditing log.

       CAP_BLOCK_SUSPEND (since Linux 3.5)
              Employ features that can block system suspend (epoll(7) EPOLLWAKEUP, /proc/sys/wake_lock).

       CAP_CHOWN
              Make arbitrary changes to file UIDs and GIDs (see chown(2)).

       CAP_DAC_OVERRIDE
              Bypass file read, write, and execute permission checks.  (DAC is an abbreviation of "discretionary access control".)

       CAP_DAC_READ_SEARCH
              * Bypass file read permission checks and directory read and execute permission checks;
              * Invoke open_by_handle_at(2).

       CAP_FOWNER
              * Bypass permission checks on operations that normally require the file system UID of t

https://www.vultr.com/docs/working-with-linux-capabilities

LightDB Enterprise Postgres--金融級關係型資料庫,更快、更穩、更懂金融!

相關推薦

linux系統程式設計特權Capabilities程式程序

系統程式設計中,經常會看到特權程式程序一說,特權指的是一種能力。官方定義:Linux capabilities are special attributes in the Linux kernel that grant processes and binary executables specific privil

linux系統】命令學習bash 程式設計實戰學習

常見shell : bash  sh  zsh windows: git bashcygwin MAC : terminal iterm netstat   是linux下用於顯示網路狀態的命令。通過它能統計埠情況,網路連線狀態,路由表等資訊。在網路開發或運維中,經常會使用

併發程式設計synchronized------jvm對synchronized的優化

鎖的粗化 看如下程式碼 public class Test { StringBuffer stb = new StringBuffer(); public void test1(){

linux系統mysql主從複製2

目錄1.什麼是主從複製2.主從複製的作用3.主從複製的原理4.主從複製搭建5.主從複製基本故障處理6.延時從庫6.1 延時從庫的作用6.2 延時從庫的設定方法6.3 利用延時從庫恢復資料7.半同步複製8.複製過濾

Linux系統與服務構建

Samba服務的使用 1.安裝Samba [root@samba ~]# yum -y install samba 2.配置Samba服務 修改/etc/samba/smb.conf

Linux系統與服務構建

LVM邏輯卷的使用 思路整理: 新增硬碟 將新增的硬碟進行分割槽 fdisk 建立物理卷 pvcreat

Linux系統程式設計事件驅動

通常,我們寫伺服器處理模型的程式時,有以下幾種模型: 1每收到一個請求,建立一個新的程序,來處理該請求;

Linux運維大量經典案例問題分析,運維案頭書,紅帽推薦

Linux運維大量經典案例問題分析,運維案頭書,紅帽推薦丁明一 編ISBN 978-7-121-21877-42014年1月出版定價:69.00元 448頁16開編輯推薦1Linux運維道》從運維工作的實際需求出發,全面講解

Kali linux系統簡單使用openvas

Kali linux系統簡單使用openvas 經過上一篇文章成功部署openvas後,可以通過外部火狐瀏覽器訪問https://kali linuxIP地址:9392。點選這裡可以到上一篇文章

網路程式設計UDP1高效低銷

讀書筆記 from here 高效 Linux系統有使用者空間(使用者態)和核心空間(核心態)分,核心與使用者空間發生切換比較耗時,核心需要儲存上下文執行使用者態資料再恢復到儲存的上下文。

c語言並行程式設計barrier的實現和條件變數

0.前言 接下來看共享記憶體程式設計的另一個問題:通過保證所有執行緒在程式中處於同一個位置來同步執行緒。這個同步點稱為barrier,翻譯為路障柵欄等。只有所有執行緒都抵達此路障,執行緒才能繼續執行下去,否則

Linux系統程式設計mmap實現父子程序通訊

Linux系統程式設計之mmap實現父子程序通訊 原理: 在映射了對映區之後,父子都可以拿到對映的記憶體區域的記憶體地址,如果一個程序改變了記憶體區域的內容,另外一個去讀的時候會有變化。

linux系統】命令學習效能統計

硬體簡介 cpu   檢視Cpu資訊:cat /proc/cpuinfo 幾核就顯示幾個processor 從0開始   檢視負載資訊:top

linux系統】命令學習awk sed grep 與管道的使用

程式執行環境輸入與輸出   標準輸入0     read a;echo $a   標準輸出1     echo cesh

linux高效能伺服器程式設計---第五章Linux網路程式設計基礎API 4

以下兩個函式通過讀取/etc/services檔案 來獲取服務資訊 以下內容來自維基百科

linux高效能伺服器程式設計---第五章Linux網路程式設計基礎API 3

通用讀寫函式 #inclued <sys/socket.h> ssize_t recvmsg(int sockfd, struct msghdr* msg, int flags);

linux高效能伺服器程式設計---第五章Linux網路程式設計基礎API 2

// 主機序和網路位元組序轉換 #include <netinet/in.h> unsigned long int htonl (unsigned long int hostlong); // host to network long

php socket網路程式設計基礎知識:多程序

說明 php在web程式設計時是不需要考慮多程序的,但整個php流程是涉及到多程序的,只不過nginxphp-fpm幫我們處理好了,我們配置他們引數時就需要設定程序個數相關引數

使用Linux C編寫看門狗watchdog程式

0x00前言 文章中的文字可能存在語法錯誤以及標點錯誤,請諒解; 如果在文章中發現程式碼錯誤或其它問題請告知,感謝!

Docker叢集編排工具KubernetesK8s介紹安裝及使用

Docker叢集編排工具KubernetesK8s介紹安裝及使用 目錄 K8s基礎原理 簡介 K8s特性