Capacidades de POSIX
1.
CAP_CHOWN
Listado de Código 1.1: CAP_CHOWN |
CAP_CHOWN
En un sistema con la opción [_POSIX_CHOWN_RESTRICTED] definida,
esta capacidad sustituye la restricción del cambio de la propiedad
de los ficheros y grupos.
|
2.
CAP_DAC_OVERRIDE
Listado de Código 2.1: CAP_DAC_OVERRIDE |
CAP_DAC_OVERRIDE
Sustituye todo el acceso DAC, incluyendo el acceso de ejecución
DAC si [_POSIX_ACL] se ha definido.
La exclusión del acceso DAC está cubierta por CAP_LINUX_IMMUTABLE.
|
3.
CAP_DAC_READ_SEARCH
Listado de Código 3.1: CAP_DAC_READ_SEARCH |
CAP_DAC_READ_SEARCH
Sustituye todas las restricciones DAC, relacionadas con la lectura
y búsqueda en ficheros y directorios, incluyendo las restricciones
ACL si se ha definido [_POSIX_ACL]. La exclusión del acceso DAC
está cubierta por CAP_LINUX_IMMUTABLE.
|
4.
CAP_FOWNER
Listado de Código 4.1: CAP_FOWNER |
CAP_FOWNER
Sustituye todas las restricciones acerca de las operaciones
permitidas sobre ficheros, donde el fichero o el identificador del
propietario deben coincidir con el identificador del usuario,
excepto donde pueda aplicarse CAP_FSETID. No sustituye las
restricciones MAC ni DAC.
|
5.
CAP_FSETID
Listado de Código 5.1: CAP_FSETID |
CAP_FSETID
Sustituye las siguientes restricciones: que el identificador
efectivo del usuario deba coincidir con el identificador del
propietario del fichero, cuando se activen los bits S_ISUID y
S_ISGID en ese fichero; la restricción de que el identificador
efectivo del grupo (o alguno de los identificadores de grupo
suplementarios) deban coincidir con el identificador del
propietario del fichero cuando se active el bit S_ISGID en ese
fichero y la restricción de que los bits S_ISUID y S_ISGID
sean puestos a cero cuando se regrese de una llamada exitosa a
chown(2) (no implementado).
|
6.
CAP_FS_MASK
Listado de Código 6.1: CAP_FS_MASK |
CAP_FS_MASK
Usado para decidir entre la vuelta por defecto a la antigua
suser() o a fsuser().
|
7.
CAP_KILL
Listado de Código 7.1: CAP_KILL |
CAP_KILL
Sustituye la restricción de que el identificador de usuario real o
efectivo de un proceso que envíe una señal, deba coincidir con el
identificador de usuario real o efectivo del proceso que recibe la
señal.
|
8.
CAP_SETGID
Listado de Código 8.1: CAP_SETGID |
CAP_SETGID
Permite la manipulación de setgid(2);
Permite setgroups(2);
Permite el forjado de gids (identificadores de grupos) en el paso
de credenciales sobre zócalos (sockets).
|
9.
CAP_SETUID
Listado de Código 9.1: CAP_SETUID |
CAP_SETUID
Permite la manipulación de set*uid(2) (incluyendo fsuid);
Permite el olvido de pids (identificadores de procesos) en el
paso de credenciales sobre zócalos (sockets).
|
10.
CAP_SETPCAP
Listado de Código 10.1: CAP_SETPCAP |
CAP_SETPCAP
Transfiere cualquier capacidad en su conjunto permitido a
cualquier conjunto de cualquier pid (identificador de proceso).
|
11.
CAP_LINUX_IMMUTABLE
Listado de Código 11.1: CAP_LINUX_IMMUTABLE |
CAP_LINUX_IMMUTABLE
Permite la modificación de los atributos de fichero
S_IMMUTABLE y S_APPEND.
|
12.
CAP_NET_BIND_SERVICE
Listado de Código 12.1: CAP_NET_BIND_SERVICE |
CAP_NET_BIND_SERVICE
Permite la interacción (binding) con zócalos (sockets) TCP/UDP
por debajo del 1024;
Permite la interacción (binding) con circuitos virtuales ATM
(ATM VCI) por debajo del 32.
|
13.
CAP_NET_BROADCAST
Listado de Código 13.1: CAP_NET_BROADCAST |
CAP_NET_BROADCAST
Permite el broadcasting y la escucha multicast.
|
14.
CAP_NET_ADMIN
Listado de Código 14.1: CAP_NET_ADMIN |
CAP_NET_ADMIN
Permite la configuración de interfaces;
Permite la administración del cortafuegos IP, enmascaramiento y
auditoría;
Permite ajustar las opciones de depuración en los zócalos (sockets);
Permite la modificación de las tablas de enrutamiento;
Permite ajustar procesos arbitrarios y la propiedad de procesos de
grupos en los zócalos (sockets);
Permite la unión a cualquier dirección para realizar representación
transparente (transparent proxying);
Permite el ajuste del TOS (tipo de servicio);
Permite ajustar el modo promiscuo;
Permite eliminar las estadísticas de los controladores;
Permite el multicasting;
Permite la lectura y escritura de registros específicos de los
dispositivos;
Permite la activación de los zócalos (sockets) de control ATM.
|
15.
CAP_NET_RAW
Listado de Código 15.1: CAP_NET_RAW |
CAP_NET_RAW
Permite el uso de zócalos (sockets) RAW;
Permite el uso de zócalos (sockets) PACKET.
|
16.
CAP_IPC_LOCK
Listado de Código 16.1: CAP_IPC_LOCK |
CAP_IPC_LOCK
Permite el bloqueo de segmentos de memoria compartidos;
Permite mlock y mlockall (las cuales, realmente, no tienen nada que
ver con IPC).
|
17.
CAP_IPC_OWNER
Listado de Código 17.1: CAP_IPC_OWNER |
CAP_IPC_OWNER
Sustituye las comprobaciones de propiedad de IPC.
|
18.
CAP_SYS_MODULE
Listado de Código 18.1: CAP_SYS_MODULE |
CAP_SYS_MODULE
Inserta y elimina los módulos del núcleo y modificar el núcleo
sin ningún límite;
Modifica cap_bset.
|
19.
CAP_SYS_RAWIO
Listado de Código 19.1: CAP_SYS_RAWIO |
CAP_SYS_RAWIO
Permite el acceso a ioperm/iopl;
Permite enviar mensajes USB a cualquier dispositivo a través
de /proc/bus/usb.
|
20.
CAP_SYS_CHROOT
Listado de Código 20.1: CAP_SYS_CHROOT |
CAP_SYS_CHROOT
Permite el uso de chroot().
|
21.
CAP_SYS_PTRACE
Listado de Código 21.1: CAP_SYS_PTRACE |
CAP_SYS_PTRACE
Permite realizar ptrace() de cualquier proceso.
|
22.
CAP_SYS_PACCT
Listado de Código 22.1: CAP_SYS_PACCT |
CAP_SYS_PACCT
Permite la configuración de la auditoría de procesos.
|
23.
CAP_SYS_ADMIN
Listado de Código 23.1: CAP_SYS_ADMIN |
CAP_SYS_ADMIN
Permite la configuración de la clave de atención segura;
Permite la administración del dispositivo aleatorio (random);
Permite examinar y configurar cuotas de dispositivo;
Permite configurara el registro de sistema del núcleo (comportamiento
printk);
Permite ajustar el nombre de dominio (domainname);
Permite ajustar el nombre de la máquina (host);
Permite las llamadas a bdflush();
Permite mount() y umount() así como la creación de una nueva
conexión smb;
Permite algunas ioctls con autofs root;
Permite nfsservctl; Permite VM86_REQUEST_IRQ;
Permite leer y escribir configuraciones pci en arquitecturas alpha;
Permite irix_prctl en arquitecturas mips (setstacksize);
Permite el vaciado de toda la caché en arquitecturas m68k (sys_cacheflush);
Permite la eliminación de semáforos; Usado en lugar de CAP_CHOWN para hacer
"chown" sobre colas de mensajes IPC, semáforos y memoria compartida;
Permite el bloqueo y desbloqueo de segmentos de memoria compartida;
Permite activar o desactivar la memoria de intercambio (swap);
Permite el forjado de pids (identificadores de procesos) en el paso
de credenciales sobre zócalos (sockets);
Permite ajustar la lectura anticipada (readahead) y el vaciado de los
buffers en dispositivos de bloque;
Permite ajustar la geometría del controlador de disco flexible;
Permite activar o desactivar el DMA en el controlador xd;
Permite la administración de dispositivos md (normalmente los de arriba,
pero con algunos ioctls extra);
Permite configurar el controlador ide;
Permite el acceso al dispositivo nvram;
Permite la administración de apm_bios, la puerta serie y el dispositivo
bttv (TV);
Permite comandos del fabricante en el controlador para el soporte de
la CAPI isdn;
Permite leer porciones no estándar del espacio de configuración pci;
Permite la depuración ioctl DDI en el controlador sbpcd;
Permite configurar los puertos serie;
Permite el envío de comandos qic117 en crudo;
Permite habilitar o deshabilitar el encolamiento con etiquetas en los
controladores SCSI, así como el envío de comandos SCSI arbitrarios;
Permite ajustar la clave de cifrado en los sistemas de ficheros loopback.
|
24.
CAP_SYS_BOOT
Listado de Código 24.1: CAP_SYS_BOOT |
CAP_SYS_BOOT
Permite el uso de reboot().
|
25.
CAP_SYS_NICE
Listado de Código 25.1: CAP_SYS_NICE |
CAP_SYS_NICE
Permite elevar la prioridad y ajustarla en otros procesos (con
diferente identificador de usuario);
Permite el uso de planificación FIFO y roundrobin (en tiempo real) en
los procesos propios y ajustar el algoritmo de planificación usado
por otro proceso.
|
26.
CAP_SYS_RESOURCE
Listado de Código 26.1: CAP_SYS_RESOURCE |
CAP_SYS_RESOURCE
Sustituye los límites en los recursos. Ajusta los límites de estos
recursos.
Sustituye lo límites de cuota;
Sustituye el espacio reservado en sistemas de ficheros ext2;
Modifica el modo de datos journaling en sistemas de ficheros ext3
(usa recursos journaling); NOTA: ext2 posee fsuid (identificador de
usuario del sistema de ficheros) cuando se comprueba una sustitución
en los ajustes del recurso, de modo que se puede sustituir también el
fsuid;
Sustituye las restricciones en el tamaño de las colas de mensajes IPC;
Permite interrupciones del reloj en tiempo real de más de 64Hz;
Sustituye el máximo número de consolas y colocación de consolas;
Sustituye el máximo número de mapas del teclado.
|
27.
CAP_SYS_TIME
Listado de Código 27.1: CAP_SYS_TIME |
CAP_SYS_TIME
Permite la manipulación del reloj del sistema;
Permite irix_stime en las arquitecturas mips;
Permite ajustar el reloj en tiempo real.
|
28.
CAP_SYS_TTY_CONFIG
Listado de Código 28.1: CAP_SYS_TTY_CONFIG |
CAP_SYS_TTY_CONFIG
Permite la configuración de dispositivos tty. Permite la llamada
vhangup() de tty.
|
29.
CAP_MKNOD
Listado de Código 29.1: CAP_MKNOD |
CAP_MKNOD
Permite los aspectos privilegiados de mknod().
|
30.
CAP_LEASE
Listado de Código 30.1: CAP_LEASE |
CAP_LEASE
Permite realizar alquileres (leases) sobre ficheros.
|
|
|
Página actualizada 22 de enero, 2005 |
Sumario:
Las capacidades de POSIX son un particionamiento de todos los privilegios
de root en un conjunto de privilegios disjuntos.
|
solar
Autor
Adam Mondl
Contributor
José María Alonso
Traductor
|
|
Donate to support our development efforts.
|
|
|
