Capabilities do Linux.

Funcionalidade do kernel Linux baseada no rascunho POSIX.1e que divide o privilegio omnipotente do root em mais de 40 capabilities discretas, atribuiveis de forma independente a processos e ficheiros. Pertence à categoria Identidade e acesso da cibersegurança.

Funcionalidade do kernel Linux baseada no rascunho POSIX.1e que divide o privilegio omnipotente do root em mais de 40 capabilities discretas, atribuiveis de forma independente a processos e ficheiros.

As capabilities do Linux foram introduzidas no kernel 2.2 para quebrar a divisao binaria entre utilizador sem privilegios e root omnipotente. O kernel expoe cerca de 40 privilegios discretos — CAP_NET_BIND_SERVICE, CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_DAC_OVERRIDE, CAP_SYS_PTRACE, etc. — que podem ser concedidos a processos ou marcados em executaveis como file capabilities. Seguem o rascunho POSIX.1e. As ferramentas userspace incluidas com a libcap sao o capsh (inspecionar e manipular o conjunto de capabilities de uma shell), o getcap e o setcap (ler ou atribuir capabilities a ficheiros) e o getpcaps. Runtimes como Docker e containerd concedem por predefinicao um subconjunto (sem CAP_SYS_ADMIN, mantendo CAP_NET_BIND_SERVICE) e os Pod Security Standards do Kubernetes restringem-nas ainda mais. As capabilities sao a base do menor privilegio em servidores Linux e workloads CNCF.

As defesas contra Capabilities do Linux costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: capabilities POSIX, caps Linux.