Capabilities Linux.

Fonctionnalite du noyau Linux issue du brouillon POSIX.1e qui decoupe le tout-puissant privilege de root en plus de 40 capabilities discretes attribuables aux processus et aux fichiers. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Fonctionnalite du noyau Linux issue du brouillon POSIX.1e qui decoupe le tout-puissant privilege de root en plus de 40 capabilities discretes attribuables aux processus et aux fichiers.

Les capabilities Linux ont ete introduites avec le noyau 2.2 pour casser le binaire entre utilisateur non privilegie et root tout-puissant. Le noyau expose une quarantaine de privileges discrets — CAP_NET_BIND_SERVICE, CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_DAC_OVERRIDE, CAP_SYS_PTRACE, etc. — assignables aux processus ou apposes sur les executables comme file capabilities. Elles suivent le brouillon POSIX.1e. Les outils livres avec libcap incluent capsh (inspecter et manipuler l'ensemble d'un shell), getcap et setcap (lire ou assigner des capabilities a un fichier) et getpcaps. Les runtimes comme Docker et containerd accordent un sous-ensemble par defaut (suppression de CAP_SYS_ADMIN, conservation de CAP_NET_BIND_SERVICE), et les Pod Security Standards Kubernetes les restreignent davantage. Les capabilities sont la base du moindre privilege sur les serveurs Linux et les workloads CNCF.

Les défenses contre Capabilities Linux combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : capabilities POSIX, Linux caps.