Capabilities (3)

Damit besteht die Möglichkeit, die meisten Dienste auch ohne root-Privilegien laufen zu lassen:

• DNS-Server benötigt CAP_NET_BIND_SERVICE
• ping und traceroute benötigt CAP_NET_RAW
• Soundserver benötigt CAP_SYS_NICE

Jeder Prozess hat drei Mengen von Capabilities:

• permitted: die Capabilities die der Prozess haben kann
; ein Prozess kann diese Menge verkleinern, aber nicht vergrößern
• effective: die Capabilities die zur Zeit aktiv sind; muss immer eine Teilmenge von permitted sein
• inheritable: die Capabilities die an Kindprozesse weitergegeben werden; muss immer eine Teilmenge von permitted sein

Innerhalb dieser Regeln kann ein Prozess seine Privilegien dynamisch verändern.

---

© 2001 Helge Bahmann <bahmann@math.tu-freiberg.de>
http://www.stunet.tu-freiberg.de/~bahmann/presentations/ac-auth/