Capacidades de Linux
¿Qué es Capacidades de Linux?
Capacidades de LinuxFuncionalidad del kernel Linux basada en el borrador POSIX.1e que divide el privilegio total de root en mas de 40 capacidades discretas asignables de forma independiente a procesos y ficheros.
Las capabilities de Linux se introdujeron en el kernel 2.2 para romper la dicotomia entre usuario sin privilegios y root omnipotente. El kernel expone unas 40 capacidades discretas —CAP_NET_BIND_SERVICE, CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_DAC_OVERRIDE, CAP_SYS_PTRACE, etc.— que pueden concederse a procesos o asociarse a ejecutables como file capabilities. Siguen el borrador POSIX.1e. Las utilidades de espacio usuario que acompanan a libcap incluyen capsh (inspeccionar y manipular el conjunto del shell), getcap y setcap (leer o asignar capacidades a ficheros) y getpcaps. Runtimes como Docker y containerd otorgan por defecto un subconjunto (quitan CAP_SYS_ADMIN y mantienen CAP_NET_BIND_SERVICE), y los Pod Security Standards de Kubernetes las restringen aun mas. Son la base del diseno de minimo privilegio en servidores Linux y cargas estilo CNCF.
● Ejemplos
- 01
Conceder solo CAP_NET_BIND_SERVICE a un proceso no-root para que escuche en el puerto TCP 80 sin ser root.
- 02
Usar "capsh --print" dentro de un contenedor para confirmar que CAP_SYS_ADMIN ha sido retirada.
● Preguntas frecuentes
¿Qué es Capacidades de Linux?
Funcionalidad del kernel Linux basada en el borrador POSIX.1e que divide el privilegio total de root en mas de 40 capacidades discretas asignables de forma independiente a procesos y ficheros. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Capacidades de Linux?
Funcionalidad del kernel Linux basada en el borrador POSIX.1e que divide el privilegio total de root en mas de 40 capacidades discretas asignables de forma independiente a procesos y ficheros.
¿Cómo funciona Capacidades de Linux?
Las capabilities de Linux se introdujeron en el kernel 2.2 para romper la dicotomia entre usuario sin privilegios y root omnipotente. El kernel expone unas 40 capacidades discretas —CAP_NET_BIND_SERVICE, CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_DAC_OVERRIDE, CAP_SYS_PTRACE, etc.— que pueden concederse a procesos o asociarse a ejecutables como file capabilities. Siguen el borrador POSIX.1e. Las utilidades de espacio usuario que acompanan a libcap incluyen capsh (inspeccionar y manipular el conjunto del shell), getcap y setcap (leer o asignar capacidades a ficheros) y getpcaps. Runtimes como Docker y containerd otorgan por defecto un subconjunto (quitan CAP_SYS_ADMIN y mantienen CAP_NET_BIND_SERVICE), y los Pod Security Standards de Kubernetes las restringen aun mas. Son la base del diseno de minimo privilegio en servidores Linux y cargas estilo CNCF.
¿Cómo defenderse de Capacidades de Linux?
Las defensas contra Capacidades de Linux combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Capacidades de Linux?
Nombres alternativos comunes: capabilities POSIX, caps de Linux.
● Términos relacionados
- identity-access№ 120
BPF LSM
Modulo de Seguridad de Linux que permite a programas eBPF verificados engancharse a hooks LSM y aplicar decisiones de control de acceso obligatorio sobre syscalls, ficheros, sockets y capabilities.
- identity-access№ 585
Modo Kernel vs Modo Usuario
Los dos niveles de privilegio de CPU que aplican los sistemas operativos modernos: modo kernel (supervisor, anillo 0) con acceso completo al hardware, y modo usuario (anillo 3) limitado a su espacio de direcciones y a instrucciones no privilegiadas.
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
- cryptography№ 1006
SELinux
Security-Enhanced Linux, marco de control de acceso obligatorio desarrollado por la NSA e implementado mediante los hooks LSM y una politica de type enforcement.
● Véase también
- № 367Seguridad con eBPF