Linux Capabilities
Was ist Linux Capabilities?
Linux CapabilitiesLinux-Kernel-Funktion auf Basis des POSIX.1e-Entwurfs, die das allmachtige Root-Privileg in mehr als 40 diskrete Capabilities aufteilt, die Prozessen und Dateien separat zugewiesen werden.
Linux Capabilities wurden mit Kernel 2.2 eingefuhrt, um die binare Trennung zwischen unprivilegiertem Benutzer und allmachtigem Root aufzubrechen. Der Kernel stellt rund 40 diskrete Privilegien bereit — CAP_NET_BIND_SERVICE, CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_DAC_OVERRIDE, CAP_SYS_PTRACE usw. —, die Prozessen vergeben oder als File Capabilities an Programme angeheftet werden konnen. Sie folgen dem POSIX.1e-Entwurf. Die Userspace-Tools von libcap umfassen capsh (Capability-Set einer Shell prufen und andern), getcap und setcap (Datei-Capabilities lesen oder setzen) sowie getpcaps. Container-Runtimes wie Docker und containerd vergeben standardmassig nur eine Teilmenge (kein CAP_SYS_ADMIN, aber CAP_NET_BIND_SERVICE), und die Pod Security Standards von Kubernetes schranken sie weiter ein. Capabilities sind die Grundlage von Least-Privilege auf Linux-Servern und CNCF-typischen Workloads.
● Beispiele
- 01
Einem Nicht-Root-Prozess nur CAP_NET_BIND_SERVICE geben, damit er TCP-Port 80 ohne Root-Rechte horen kann.
- 02
Mit "capsh --print" im Container prufen, dass CAP_SYS_ADMIN entfernt wurde.
● Häufige Fragen
Was ist Linux Capabilities?
Linux-Kernel-Funktion auf Basis des POSIX.1e-Entwurfs, die das allmachtige Root-Privileg in mehr als 40 diskrete Capabilities aufteilt, die Prozessen und Dateien separat zugewiesen werden. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Linux Capabilities?
Linux-Kernel-Funktion auf Basis des POSIX.1e-Entwurfs, die das allmachtige Root-Privileg in mehr als 40 diskrete Capabilities aufteilt, die Prozessen und Dateien separat zugewiesen werden.
Wie funktioniert Linux Capabilities?
Linux Capabilities wurden mit Kernel 2.2 eingefuhrt, um die binare Trennung zwischen unprivilegiertem Benutzer und allmachtigem Root aufzubrechen. Der Kernel stellt rund 40 diskrete Privilegien bereit — CAP_NET_BIND_SERVICE, CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_DAC_OVERRIDE, CAP_SYS_PTRACE usw. —, die Prozessen vergeben oder als File Capabilities an Programme angeheftet werden konnen. Sie folgen dem POSIX.1e-Entwurf. Die Userspace-Tools von libcap umfassen capsh (Capability-Set einer Shell prufen und andern), getcap und setcap (Datei-Capabilities lesen oder setzen) sowie getpcaps. Container-Runtimes wie Docker und containerd vergeben standardmassig nur eine Teilmenge (kein CAP_SYS_ADMIN, aber CAP_NET_BIND_SERVICE), und die Pod Security Standards von Kubernetes schranken sie weiter ein. Capabilities sind die Grundlage von Least-Privilege auf Linux-Servern und CNCF-typischen Workloads.
Wie schützt man sich gegen Linux Capabilities?
Schutzmaßnahmen gegen Linux Capabilities kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Linux Capabilities?
Übliche alternative Bezeichnungen: POSIX-Capabilities, Linux Caps.
● Verwandte Begriffe
- identity-access№ 120
BPF LSM
Linux-Security-Module, mit dem verifizierte eBPF-Programme an LSM-Hooks andocken und benutzerdefinierte MAC-Entscheidungen fur Syscalls, Dateien, Sockets und Capabilities durchsetzen.
- identity-access№ 585
Kernel Mode vs User Mode
Die beiden CPU-Privilegierungsstufen moderner Betriebssysteme: Kernel Mode (Supervisor, Ring 0) mit vollem Hardwarezugriff und User Mode (Ring 3), beschrankt auf den eigenen Adressraum und ohne privilegierte Befehle.
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
- cryptography№ 1006
SELinux
Security-Enhanced Linux, ein von der NSA entwickeltes Mandatory-Access-Control-Framework, das ueber die Linux-Security-Module-Hooks und eine Type-Enforcement-Policy umgesetzt wird.
● Siehe auch
- № 367eBPF-Sicherheit