linux capabilities

在 linux 系统中，很多操作是需要 root 用户权限才能操作的。比如 chown，改变进程 uid，使用 raw socket 等等。要不就得用 sudo 提升权限，如果想让每个用户都能用特权来执行一个程序，配置管理和权限控制就很麻烦了。还有一个办法是使用粘滞位，通过 chmod +s，可以让一个 owner 为 root 的可执行文件再运行时具有 root 权限。在一些发型版中，ping 命令就是这么干的。给 ping 命令加上粘滞位以后，普通用户也可以使用这个命令通过 raw socket 发送 icmp 包了。不过这样一来，这个程序也就无所不能了。万一程序有啥漏洞，就容易造成严重后果。有没有办法只给这个程序开所需要的权限呢？其实是可以的。linux 有一套 capabilities 机制就是用来实现这个。

事实上，linux 本身对权限的检查就是基于 capabilities 的，root 用户有全部的 capabilities，所以啥都能干。如果想给一个可执行文件加上某个 capability，可以用 setcap 命令，如

setcap cap_net_raw=+ep ping

就可以给 ping 命令加上使用 raw socket 的权限。cap_net_raw 是 capability 的名字，后面是 mode，可以有

+ 表示启用，- 表示禁用。
这样执行以后，普通用户执行这个 ping 命令，也可以正常玩耍了。而且这个 ping 命令只获得了 raw socket 的权限。
通过 getcap ping 可以查看这个程序所拥有的 capabilities。

实现上，是通过 setxattr 系统调用，为文件加上 security.capability 的扩展属性。

在 man 7 capabilities 中可以看到所有可用的 capabilities。

在 man 3 cap_from_text 中可以看到关于 capability mode 的表达式说明。