Capacità POSIX

Codice 1.1: CAP_CHOWN

  CAP_CHOWN
  L'opzione [_POSIX_CHOWN_RESTRICTED], se selezionata, permette di ignorare le
  restrizioni sul cambiamento di utente proprietario e sul cambiamento di gruppo
  per un file.

Codice 2.1: CAP_DAC_OVERRIDE

  CAP_DAC_OVERRIDE
	Permette di ignorare tutte le restrizioni sugli accessi DAC, inclusi gli
	accessi in esecuzione ACL, se il parametro [_POSIX_ACL] è definito.
	L'esclusione degli accessi DAC è attivata da CAP_LINUX_IMMUTABLE.

Codice 3.1: CAP_DAC_READ_SEARCH

  CAP_DAC_READ_SEARCH
	Permette di ignorare tutte le restrizioni DAC, sia in lettura che in operazioni
	di ricerca su file e directory, incluse le restrizioni ACL, se [_POSIX_ACL]
	è definita. L'esclusione degli accessi DAC è attivata da CAP_LINUX_IMMUTABLE.

Codice 4.1: CAP_FOWNER

  CAP_FOWNER
	Permette di ignorare tutte le restrizioni sulle operazioni permesse sui file,
	dove l'ID del proprietario dei file è uguale allo user ID, escluse quelle
	situazioni dove CAP_FSETID è applicabile. Non permette di ignorare le restrizioni
	MAC e DAC.

Codice 5.1: CAP_FSETID

  CAP_FSETID
	Permette di ignorare le seguenti restrizioni, vale a dire che lo user ID sia
	uguale all'ID del proprietario di un dato file, quando si impostano i bit di
	S_ISUID e S_ISGID; che l'ID di gruppo (o uno degli ID di gruppo supplementari)
	sia uguale all'ID del possessore quando si imposta il bit S_ISGID; che i bit
	S_ISUID e S_ISGID siano azzerati quando il comando chown(2) ha successo (non
	implementata).

Codice 6.1: CAP_FS_MASK

  CAP_FS_MASK
	E' usato per decidere quale comando attivare tra il vecchio suser() e fsuser().

Codice 7.1: CAP_KILL

  CAP_KILL
	Permette di ignorare la restrizione che lo user ID reale o attuale di un
	processo, inviante un segnale, debba essere uguale allo user ID reale o
	attuale del processo che riceve il segnale.

Codice 8.1: CAP_SETGID

  CAP_SETGID
	Permette al comando setgid(2) le relative operazioni;
	Permette l'esecuzione del comando setgroups(2);
	Permette ai gid (Group IDentifiers) di processi trasmessi su socket il
	passaggio delle credenziali.

Codice 9.1: CAP_SETUID

  CAP_SETUID
	Permette le operazioni al comando set*uid(2) (compreso fsuid);
	Permette le operazioni ai pid (Process IDentifiers) dei processi trasmessi
	da socket il passaggio delle credenziali.

Codice 10.1: CAP_SETPCAP

  CAP_SETPCAP
	Trasferisce o rimuove ogni capacità di un dato sottoinsieme di permessi a ogni
	pid.

Codice 11.1: CAP_LINUX_IMMUTABLE

  CAP_LINUX_IMMUTABLE
	Permette la modifica degli attributi di file S_IMMUTABLE e S_APPEND.

Codice 12.1: CAP_NET_BIND_SERVICE

  CAP_NET_BIND_SERVICE
	Permette il binding di socket TCP/UDP sotto l'ID 1024;
	Permette il binding a VCIs ATM sotto l'ID 32.

Codice 13.1: CAP_NET_BROADCAST

  CAP_NET_BROADCAST
	Permette il broadcasting, e l'ascolto al multicast.

Codice 14.1: CAP_NET_ADMIN

  CAP_NET_ADMIN
	Permette la configurazione delle interfacce;
	Permette l'amministrazione degli IP su firewall, mediante mascheramento e accounting;
	Permette di impostare l'opzione di debug sui socket;
	Permette la modifica delle routing tables;
	Permette di impostare diritti di gruppo arbitrari processo / processo sulle socket;
	Permette il binding ad ogni indirizzo per il proxing trasparente;
	Permette l'impostazione del TOS (type of service);
	Permette l'impostazione del modo promiscuo;
	Permette l'azzeramento della statistica di driver;
	Permette il multicasting;
	Permette la lettura/scrittura dei registri specifici di dispositivo;
	Permette l'attivazione delle socket di controllo ATM.

Codice 15.1: CAP_NET_RAW

  CAP_NET_RAW
	Permette l'uso di socket RAW;
	Permette l'uso di socket PACKET.

Codice 16.1: CAP_IPC_LOCK

  CAP_IPC_LOCK
	Permette il lock di segmenti di memoria condivisa;
	Permette mlock e mlockall (che in realtà non ha niente a che fare con l'IPC).

Codice 17.1: CAP_IPC_OWNER

  CAP_IPC_OWNER
	Permette di saltare i controlli di appartenenza sull'IPC.

Codice 18.1: CAP_SYS_MODULE

  CAP_SYS_MODULE
	Inserisce e rimuove moduli di kernel, modificando il kernel stesso senza limiti;
	modifica il cap_bset.

Codice 19.1: CAP_SYS_RAWIO

  CAP_SYS_RAWIO
	Permette l'accesso ioperm/iopl;
	Permette l'invio di messaggi USB ad ogni dispositivo via /proc/bus/usb.

Codice 20.1: CAP_SYS_CHROOT

  CAP_SYS_CHROOT
	Permette l'uso di chroot().

Codice 21.1: CAP_SYS_PTRACE

  CAP_SYS_PTRACE
	Permette il ptrace() di ogni processo.

Codice 22.1: CAP_SYS_PACCT

  CAP_SYS_PACCT
	Permette la configurazione dell'accounting di processo.

Codice 23.1: CAP_SYS_ADMIN

  CAP_SYS_ADMIN
	Permette la configurazione della secure attention key;
	Permette l'amministrazione del dispositivo random;
	Permette l'esame e la configurazione delle quote di disco;
	Permette la configurazione dei syslog del kernel (vale a dire il comportamento
	del printk);
	Permette di impostare il domainname;
	Permette di impostare l'hostname;
	Permette la chiamata della funzione bdflush();
	Permette la mount() a la umount(), impostando una nuova connessione smb;
	Permette l'esecuzione delle ioctl di autofs in root;
	Permette l'nfsservctl; permette VM86_REQUEST_IRQ;
	Permette la configurazione di pci per lettura/scrittura su alpha; permette
	la irix_prctl su mips (setstacksize);
	Permette il flush di tutta la memoria cache sull'm68k (sys_cacheflush);
	Permette la rimozione dei semafori; è usata al posto di CAP_CHOWN in quanto
	effettua il "chown" delle code di messaggi IPC, dei messaggi e della memoria condivisa;
	Permette il lock/unlock del segmento di memoria condivisa;
	Permette di abilitare/disabilitare lo swap;
	Permette il passaggio delle credenziali dei pid trasmessi su socket;
	Permette l'impostazione del readahead e il flush dei buffer sui dispositivi block;
	Permette di scegliere la geometria del floppy driver;
	Permette di abilitare/ disabilitare il DMA sui driver xd;
	Permette di amministrare i dispositivi md (principalmente quelli elencati
	qui sopra, ma anche qualche extra ioctls);
	Permette la regolazione del driver ide;
	Permette l'accesso alla periferica nvram;
	Permette di amministrare l'apm_bios, e i dispositivi serial e bttv (TV);
	Permette l'esecuzione di comandi specifici del costruttore per il driver
	di supporto isdn CAPI;
	Permette la lettura di porzioni non standardizzate dello spazio	di configurazione pci;
	Permette il debug DDI ioctl sui driver sbpcd;
	Permette la configurazione delle porte seriali;
	Permette l'invio di comandi qic117 raw;
	Permette di abilitare/disabilitare il tagged queuing sui controller SCSI
	e l'invio di comandi SCSI arbitrari;
	Permette la configurazioen della chiave di criptazione sui filesystem loopback.

Codice 24.1: CAP_SYS_BOOT

  CAP_SYS_BOOT
	Permette l'uso di reboot().

Codice 25.1: CAP_SYS_NICE

  CAP_SYS_NICE
	Permette l'incremento di priorità su altri (con diverso UID);
	Permette l'uso dello scheduling FIFO e roundrobin (realtime) su processi propri
	e l'impostazione dell'algoritmo di scheduling usato da un altro processo.

Codice 26.1: CAP_SYS_RESOURCE

  CAP_SYS_RESOURCE
	Permette di ignorare i limiti di una risorsa. Fissa i limiti di una risorsa;
	Permette di ignorare i limiti di quota;
	Permette di ignorare lo spazio riservato sui filesystem di tipo ext2;
	Modifica il modo data journaling sui filesystem di tipo ext3;
	(usa le risorse di journaling); NOTA: ext2 rispetta il comando fsuid quando
	si controlla l'override delle risorse, così si può eseguire l'override anche
	usando fsuid;
	Permette di ignorare le restrizioni di formato sulle code di messaggi IPC;
	Permette interrupt a più di 64hz dal clock realtime;
	Permette di ignorare il massimo numero di console durante la loro l'allocazione;
	Permette di ignorare il massimo numero di keymaps.

Codice 27.1: CAP_SYS_TIME

  CAP_SYS_TIME
	Permette il controllo del clock di sistema;
	Permette irix_stime su mips;
	Permette il set up del clock realtime.

Codice 28.1: CAP_SYS_TTY_CONFIG

  CAP_SYS_TTY_CONFIG
	Permette la configurazione dei dispositivi tty; permette vhangup()
	sui dispositivi tty.

Codice 29.1: CAP_MKNOD

  CAP_MKNOD
	Permette gli aspetti con diritti maggiorati di mknod().

Codice 30.1: CAP_LEASE

  CAP_LEASE
	Permette il leasing di file.