Linux Capabilities.

POSIX.1e ドラフトに基づく Linux カーネル機能で、全能の root 権限を 40 以上の細分化された capability に分割し、プロセスやファイルへ個別に付与できるようにする。 サイバーセキュリティの ID とアクセス カテゴリに属します。

POSIX.1e ドラフトに基づく Linux カーネル機能で、全能の root 権限を 40 以上の細分化された capability に分割し、プロセスやファイルへ個別に付与できるようにする。

Linux capabilities はカーネル 2.2 で導入され、非特権ユーザーと万能の root という二元論を打破するために設計されました。カーネルは CAP_NET_BIND_SERVICE、CAP_SYS_ADMIN、CAP_NET_ADMIN、CAP_DAC_OVERRIDE、CAP_SYS_PTRACE など約 40 個の個別権限を提供し、プロセスへ付与したり、file capabilities として実行ファイルに刻印したりできます。これらは POSIX.1e ドラフトに準拠します。libcap が提供する userspace ツールには、シェルの capability セットを表示・変更する capsh、ファイル capability を読み書きする getcap・setcap、そして getpcaps があります。Docker や containerd といったコンテナランタイムは既定で一部のみを許可し(CAP_SYS_ADMIN は除外し CAP_NET_BIND_SERVICE は維持)、Kubernetes の Pod Security Standards はさらに厳しく制限します。capabilities は Linux サーバーや CNCF 系ワークロードでの最小権限設計の基盤です。

Linux Capabilities に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: POSIX capabilities, Linux caps。