为啥要讲setcap这个玩意呢因为最近茬做国产化系统编译安装产品，遇到普通用户下Nginx不能够小于1024一下端口的问题

Capabilities的主要思想在于分割root用户的特权，即将root的特权分割成不同的能力每种能力代表一定的特权操作。

例如：能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作而CAP_SETUID表示用户能够修改进程用户身份的特權操作。在Capbilities中系统将根据进程拥有的能力来进行特权操作的访问控制

其中cap_permitted表示进程所拥有的最大能力集, cap_effective表示进程当前可用的能力集，可鉯看做是cap_permitted的一个子集, 而cap_inheitable则表示进程可以传递给其子进程的能力集

其中cap_allowed表示程序运行时可从原进程的cap_inheritable中集成的能力集，cap_forced表示运行文件时必須拥有才能完成其服务的能力集, 而cap_effective则表示文件开始运行时可以使用的能力

从前，要使被普通用户执行的某个程序有特殊权限一般我们會给这个程序设置suid，于是普通用户执行该程序时就会以root的身份来执行

比如，/usr/bin/passwd这个可执行文件就带有suid普通用户执行它时会以root身份执行，所以passwd才能读取并修改/etc/shadow文件

可以看到，使用 suid 有一个弊端那就是以 root 身份执行的程序有了所有特权，这会带来安全风险

Kernel从2.2版本开始，提供叻Capabilities功能它把特权划分成不同单元，可以只授权程序所需的权限而非所有特权。

Linux内核从2.2版本开始就加进的Capabilities的概念与机制，并随着版本升高逐步得到改进在linux中，root权限被分割成一下29种能力：

1、安装Wireshark的时候有一步是给dumpcap读网卡的权限，使得普通用户也可以使用 Wireshark进行抓包

2、普通用户下允许启动1024以下端口

Tips: setcap一般用于二进制可执行文件setcap 用于脚本文件时无效（比如以 #!/bin/python开头的脚本文件）

本文由 创作，采用 国际许可协议進行许可
本站文章除注明转载/出处外均为本站原创或翻译，转载前请务必署名