Linux capabilities 是否划分了可能的特权操作?
Do Linux capabilities partition the possible privileged operations?
更准确地说,是否有任何操作可以使用不止一种功能来为进程提供必要的权限?
简短的回答是肯定的。
我想说的是,包罗万象的 模型 是每个操作都由单一功能保护。但是,当然也有例外。浏览一下 kernel/ 目录,我很快找到了一个例子。 usermodehelper sysctl 处理程序需要 CAP_SETPCAP 和 CAP_SYS_MODULE 功能才能更新其设置。
另一个需要考虑的因素:能力检查散布在整个内核代码中,包括许多驱动程序。驱动程序编写者可以选择以他们认为最好的任何方式检查功能,因此很可能需要调用者持有多个功能。
最后,在许多其他情况下,单个操作可能 使用 多个功能,即使它从根本上只需要一个功能。例如,考虑一个系统调用,它需要一个能力作为基础,但也需要一个路径名参数来进行某些操作。我找到了一个例子:pr_ctl 带有选项 PR_SET_MM 和 sub-option PR_SET_MM_EXE_FILE 的系统调用。此调用需要 CAP_SYS_RESOURCE 基础。但是,它还需要对文件具有一定的权限。但是,如果调用用户没有访问文件的正确凭据,如果调用者具有 CAP_DAC_OVERRIDE 能力,则可以覆盖该权限。
更准确地说,是否有任何操作可以使用不止一种功能来为进程提供必要的权限?
简短的回答是肯定的。
我想说的是,包罗万象的 模型 是每个操作都由单一功能保护。但是,当然也有例外。浏览一下 kernel/ 目录,我很快找到了一个例子。 usermodehelper sysctl 处理程序需要 CAP_SETPCAP 和 CAP_SYS_MODULE 功能才能更新其设置。
另一个需要考虑的因素:能力检查散布在整个内核代码中,包括许多驱动程序。驱动程序编写者可以选择以他们认为最好的任何方式检查功能,因此很可能需要调用者持有多个功能。
最后,在许多其他情况下,单个操作可能 使用 多个功能,即使它从根本上只需要一个功能。例如,考虑一个系统调用,它需要一个能力作为基础,但也需要一个路径名参数来进行某些操作。我找到了一个例子:pr_ctl 带有选项 PR_SET_MM 和 sub-option PR_SET_MM_EXE_FILE 的系统调用。此调用需要 CAP_SYS_RESOURCE 基础。但是,它还需要对文件具有一定的权限。但是,如果调用用户没有访问文件的正确凭据,如果调用者具有 CAP_DAC_OVERRIDE 能力,则可以覆盖该权限。