在Linux中，个个进程dou有一组权限管束其可访问和施行的材料。这些个权限通过内核平安模型实现，并包含基本UNIX权限，UID、GID和特殊权限。但是这些个基本权限并不够以精细控制进程所Neng访问的材料。在Linux 2.2中引入了Capability概念， 为了增有力进程可访问的材料的控制，Capability手艺横空出世。

啥是Linux Capability？

Linux Capability是一种geng为精细的权限管理方式。在老一套的模型中， 进程的权限与... 加载/卸载内核模块和管理文件系统等高大权限geng许多下载材料、学资料请访问CSDN文库频道 首页Linux系统平安升级:利用Capabilities少许些root权限凶险Linux系统平安升级:利用Capabilities少许些root权限凶险 78 浏览量geng新鲜于2024-09-03收藏40KBDOC举报 Linux系统平安一直以来dou受到关注,特别是在老一套的UNIX相信状模型中,单一的root用户拥有全部系统权限，这无疑许多些了系统的脆没劲性。

为了解决这玩意儿问题， 自Linux 2.2内核开头引入了Neng力的概念，这是一种geng为精细的权限管理方式。

用Capability的优良处

通过代码设置Capability也是Neng的。在用Capabilty时要添加头文件：

Capability是一种格外授权机制，通过设置特定的Capability来精细控制进程所Neng访问的材料。同样， 该机制Neng将有些超级用户Neng力下放到非特权进程或二进制文件中，从而少许些了系统对root的依赖，别让被黑客打。

Capability的实践

个个CapabilityNeng控制进程中的某种材料，让用户细粒度地控制材料。一边，CapabilityNeng方便将有些特权操作，像访问有些结实件，变成普通用户所Neng访问的操作。

由于绝巨大许多数用户用的是个人计算机，用者一般dou是被相信的人。在这种情况下巨大家douNeng用管理员身份直接登录。但在服务器上就不是这种情况了 往往运行的数据越关键，值钱越高大，则服务器中对权限的设定就要越详细，用户的分级也要越明确。

Linux Kernel在处理Capability模块实现时存在问题，本地打者Neng利用这玩意儿漏洞提升权限。当特权操作由Capability LSM模块控制时系统基于进程相信状来仲裁特权操作。当Capability未被编译进内核时 内核用默认的平安模块仲裁特权操作，机制非常轻巧松，仅仅检查进程euid、fsuid是不是为0。在这种情况下dummy模块根本不关心进程的相信状，个个进程的相信状dou拷贝其父进程的相信状。追根溯源， 个个进程的相信状无论进程用户是不是为超级用户，到头来dou拷贝Init进程的相信状，相信状中包含有超级用户进程的全部权Neng。

本文介绍了Linux下的Capability，它是Linux从基本权限概念上衍生出来的格外授权机制。它Neng为系统给一个平安、 轻巧便的授权机制，从而Neng让进程只是需要少许不了权限，而非具有root用户的全部权限。了解并掌握Capability是Linux平安管理的关键一有些。