深入理解Linux Capability

在Linux中，每個進程都有一組許可權限制其可訪問和執行的資源。這些許可權通過內核安全模型（如SELinux）實現，並包含基本UNIX許可權（rwx），UID、GID和特殊許可權。但是，這些基本許可權並不足以精細控制進程所能訪問的資源。在Linux 2.2中引入了Capability概念，為了增強進程可訪問的資源的控制，Capability技術橫空出世。

一、什麼是Capability

Capability是一種格外授權機制，通過設置特定的Capability來精細控制進程所能訪問的資源。同樣，該機制可以將某些超級用戶能力下放到非特權進程或二進位文件中，從而減少了系統對root的依賴，防止被黑客攻擊。

每個Capability可以控制進程中的某種資源（如CAP_SYS_ADMIN控制文件系統操作），讓用戶細粒度地控制資源。同時，Capability能方便將某些特權操作，像訪問某些硬體，變成普通用戶所能訪問的操作。

二、如何使用Capability

1. 常見的Capability操作

Capability的使用涉及一下常見的操作：

1. 通過命令行臨時設置某個Capability並啟動進程：

   $ sudo setcap cap_net_admin=eip /usr/bin/ping
   $ ping www.baidu.com

2. 讓二進位文件以某個Capability啟動：

   $ sudo setcap 'cap_net_admin=eip' /usr/bin/ping
   $ ./ping www.baidu.com

3. 二進位文件作為服務運行，通過systemd單元設置Capability：

   [Unit]
   Description=Ping server
   
   [Service]
   ExecStart=/path/to/ping-server
   AmbientCapabilities=CAP_NET_ADMIN
   
   [Install]
   WantedBy=multi-user.target

2. 如何查看當前進程的Capabilities

一個進程的Capability可以通過/proc/pid/status文件查看：

CapInh:\t00000000a80425fb
CapPrm:\t00000000a80425fb
CapEff:\t00000000a80425fb
CapBnd:\t00000000a80425fb
CapAmb:\t0000000000000000

上面的代碼分別表示：

• CapInh：指定進程的Inheritable Capability集合（該進程從其父進程繼承的）。
• CapPrm：指定進程的Permitted Capability集合（該進程能夠獲取的）。
• CapEff：指定進程的 Effective Capability 集合（該進程當前擁有的）。
• CapBnd：指定進程的Capability 境界集合（該進程不能超過的Capability）。
• CapAmb：指定進程的Ambient Capability集合（該進程在進程啟動時擁有的Capability集合）。

3. 代碼設置Capability

通過代碼設置Capability也是可以的。在使用Capabilty時要添加頭文件：

#include <linux/capability.h>

int main(int argc, char *argv[]) {
  //申請capability
  cap_t caps = cap_from_text("CAP_NET_ADMIN+eip CAP_NET_RAW");
  //設置capability
  cap_set_proc(caps);
  //列印capability
  printf("Effective CAP: %d\n", cap_get_pid(getpid())->version);
  //釋放capablity資源
  cap_free(caps);
}

三、常用Capability

下面列舉了Linux下常用的Capability：

四、總結

本文介紹了Linux下的Capability，它是Linux從基本許可權概念上衍生出來的格外授權機制。它能為系統提供一個安全、輕便的授權機制，從而能讓進程只是需要必要許可權，而非具有root用戶的所有許可權。了解並掌握Capability是Linux安全管理的重要一部分。