Linux Capabilities 安全参考表
审计管理
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_AUDIT_CONTROL |
Linux 2.6.11 |
启用/禁用内核审计;修改审计过滤规则;获取审计状态。 |
❌ |
中 |
| CAP_AUDIT_READ |
Linux 3.16 |
通过组播 netlink 套接字读取审计日志。 |
❌ |
低 |
| CAP_AUDIT_WRITE |
Linux 2.6.11 |
向内核审计日志写入记录。 |
✅ |
低 |
| CAP_SYS_PACCT |
基础支持 |
启用进程记账(BSD 式审计)。 |
❌ |
低 |
| CAP_SYSLOG |
Linux 2.6.37 |
执行特权 syslog 操作(读取内核日志、修改 dmesg 日志级别)。 |
❌ |
中 |
系统管理
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_BLOCK_SUSPEND |
Linux 3.5 |
阻止系统休眠(如使用 EPOLLWAKEUP)。 |
❌ |
低 |
| CAP_SYS_ADMIN |
基础支持 |
执行系统管理任务(挂载文件系统、磁盘配额、设置主机名等)。 |
❌ |
极高 |
| CAP_SYS_BOOT |
基础支持 |
重启系统(reboot)。 |
❌ |
极高 |
| CAP_SYS_TIME |
基础支持 |
修改系统时钟(settimeofday)。 |
❌ |
高 |
| CAP_WAKE_ALARM |
Linux 3.0 |
触发系统唤醒事件(如 RTC 闹钟)。 |
❌ |
低 |
内核控制
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_BPF |
Linux 5.8 |
执行特权 BPF 操作(如加载 BPF 程序)。 |
❌ |
高 |
| CAP_SYS_MODULE |
基础支持 |
插入/删除内核模块(init_module, delete_module)。 |
❌ |
极高 |
进程管理
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_CHECKPOINT_RESTORE |
Linux 5.9 |
更新 /proc/sys/kernel/ns_last_pid;使用 clone3(CLONE_SETTID)。 |
❌ |
中 |
| CAP_KILL |
基础支持 |
向任意进程发送信号(kill, ioctl(KDSIGACCEPT))。 |
✅ |
中 |
| CAP_SETGID |
基础支持 |
任意修改进程 GID(setgid)。 |
✅ |
高 |
| CAP_SETUID |
基础支持 |
任意修改进程 UID(setuid)。 |
✅ |
高 |
| CAP_SYS_CHROOT |
基础支持 |
使用 chroot() 切换根目录。 |
✅ |
中 |
| CAP_SYS_NICE |
基础支持 |
提升进程优先级或修改其他进程优先级(nice, setpriority)。 |
❌ |
中 |
| CAP_SYS_PTRACE |
基础支持 |
跟踪任意进程(ptrace)。 |
❌ |
高 |
文件系统
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_CHOWN |
基础支持 |
任意修改文件 UID/GID(chown 操作)。 |
✅ |
中 |
| CAP_DAC_OVERRIDE |
基础支持 |
绕过文件读写执行权限检查(DAC 访问控制)。 |
✅ |
极 |
| CAP_DAC_READ_SEARCH |
基础支持 |
绕过文件读权限及目录搜索权限检查。 |
❌ |
高 |
| CAP_FOWNER |
基础支持 |
忽略文件属主与进程 UID 匹配的要求(如 chmod, utime)。 |
✅ |
中 |
| CAP_FSETID |
基础支持 |
保留文件的 setuid/setgid 位;设置非匹配 GID 文件的 setgid 位。 |
✅ |
中 |
| CAP_LEASE |
Linux 2.4 |
在任意文件上设置租约锁(fcntl(F_SETLEASE))。 |
❌ |
中 |
| CAP_LINUX_IMMUTABLE |
基础支持 |
修改文件的 IMMUTABLE 和 APPEND 属性标志。 |
❌ |
高 |
资源管理
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_IPC_LOCK |
基础支持 |
锁定共享内存(mlock);分配大页内存。 |
❌ |
低 |
| CAP_SYS_RESOURCE |
基础支持 |
绕过资源限制(如 setrlimit 突破 ulimit)。 |
❌ |
高 |
进程间通信
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_IPC_OWNER |
基础支持 |
绕过 System V IPC 对象所有权检查。 |
❌ |
低 |
安全策略
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_MAC_ADMIN |
Linux 2.6.25 |
配置强制访问控制(MAC)状态(如 Smack LSM)。 |
❌ |
高 |
| CAP_MAC_OVERRIDE |
Linux 2.6.25 |
覆盖 MAC(Mandatory Access Control)规则。 |
❌ |
高 |
设备管理
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_MKNOD |
Linux 2.4 |
创建设备特殊文件(mknod)。 |
✅ |
中 |
| CAP_SYS_RAWIO |
基础支持 |
直接访问硬件端口(/dev/port, /dev/mem)。 |
❌ |
极高 |
| CAP_SYS_TTY_CONFIG |
基础支持 |
配置 TTY 设备(如 vhangup 挂起终端)。 |
❌ |
中 |
权限管理
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_SETFCAP |
基础支持 |
为文件设置任意 capabilities(通过 setcap)。 |
✅ |
高 |
| CAP_SETPCAP |
基础支持 |
向其他进程转移或删除能力(需自身有效)。 |
✅ |
中 |
网络管理
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_NET_ADMIN |
基础支持 |
执行网络管理任务(接口配置、防火墙、路由修改等)。 |
❌ |
高 |
| CAP_NET_BIND_SERVICE |
基础支持 |
绑定到特权端口(<1024)。 |
✅ |
低 |
| CAP_NET_BROADCAST |
基础支持 |
启用套接字广播和组播(实际未使用)。 |
❌ |
低 |
| CAP_NET_RAW |
基础支持 |
使用原始/分组套接字(如 ping, tcpdump)。 |
✅ |
高 |
性能监控
| Capability 名称 |
引入版本 |
功能描述 |
默认启用(Docker) |
启用风险等级 |
| CAP_PERFMON |
Linux 5.8 |
使用性能监控接口(perf_event_open,特权 BPF 操作)。 |
❌ |
中 |
参照
0
Last Updated: 2025/07/28 14:45:44
