深入理解Linux Capability

在Linux中，每个进程都有一组权限限制其可访问和执行的资源。这些权限通过内核安全模型（如SELinux）实现，并包含基本UNIX权限（rwx），UID、GID和特殊权限。但是，这些基本权限并不足以精细控制进程所能访问的资源。在Linux 2.2中引入了Capability概念，为了增强进程可访问的资源的控制，Capability技术横空出世。

一、什么是Capability

Capability是一种格外授权机制，通过设置特定的Capability来精细控制进程所能访问的资源。同样，该机制可以将某些超级用户能力下放到非特权进程或二进制文件中，从而减少了系统对root的依赖，防止被黑客攻击。

每个Capability可以控制进程中的某种资源（如CAP_SYS_ADMIN控制文件系统操作），让用户细粒度地控制资源。同时，Capability能方便将某些特权操作，像访问某些硬件，变成普通用户所能访问的操作。

二、如何使用Capability

1. 常见的Capability操作

Capability的使用涉及一下常见的操作：

1. 通过命令行临时设置某个Capability并启动进程：

   $ sudo setcap cap_net_admin=eip /usr/bin/ping
   $ ping www.baidu.com

2. 让二进制文件以某个Capability启动：

   $ sudo setcap 'cap_net_admin=eip' /usr/bin/ping
   $ ./ping www.baidu.com

3. 二进制文件作为服务运行，通过systemd单元设置Capability：

   [Unit]
   Description=Ping server
   
   [Service]
   ExecStart=/path/to/ping-server
   AmbientCapabilities=CAP_NET_ADMIN
   
   [Install]
   WantedBy=multi-user.target

2. 如何查看当前进程的Capabilities

一个进程的Capability可以通过/proc/pid/status文件查看：

CapInh:\t00000000a80425fb
CapPrm:\t00000000a80425fb
CapEff:\t00000000a80425fb
CapBnd:\t00000000a80425fb
CapAmb:\t0000000000000000

上面的代码分别表示：

• CapInh：指定进程的Inheritable Capability集合（该进程从其父进程继承的）。
• CapPrm：指定进程的Permitted Capability集合（该进程能够获取的）。
• CapEff：指定进程的 Effective Capability 集合（该进程当前拥有的）。
• CapBnd：指定进程的Capability 境界集合（该进程不能超过的Capability）。
• CapAmb：指定进程的Ambient Capability集合（该进程在进程启动时拥有的Capability集合）。

3. 代码设置Capability

通过代码设置Capability也是可以的。在使用Capabilty时要添加头文件 ：

#include <linux/capability.h>

int main(int argc, char *argv[]) {
  //申请capability
  cap_t caps = cap_from_text("CAP_NET_ADMIN+eip CAP_NET_RAW");
  //设置capability
  cap_set_proc(caps);
  //打印capability
  printf("Effective CAP: %d\n", cap_get_pid(getpid())->version);
  //释放capablity资源
  cap_free(caps);
}

三、常用Capability

下面列举了Linux下常用的Capability：

四、总结

本文介绍了Linux下的Capability，它是Linux从基本权限概念上衍生出来的格外授权机制。它能为系统提供一个安全、轻便的授权机制，从而能让进程只是需要必要权限，而非具有root用户的所有权限。了解并掌握Capability是Linux安全管理的重要一部分。