linux capabilities 通过精细化拆分 root 权限实现最小权限原则,应仅授予程序必需的单个能力(如 cap_net_bind_service),避免使用 cap_sys_admin 等全能型能力;setcap 须由 root 对静态可执行文件操作,禁用脚本、通配符和 setuid 位;getcap 用于审计,关注 +ep 标志;能力需与 dac、mac、namespace 等协同构成纵深防御。
Linux capabilities 是对传统 root 权限的精细化拆分,遵循最小权限原则意味着:只赋予程序运行所必需的单个或少数几个 capability,而非直接给它 root 或 sudo 权限。配合 setcap 和 getcap 命令,可安全地为二进制文件绑定特定能力,避免提权风险。
最小权限原则的核心实践
不把 CAP_SYS_ADMIN、CAP_NET_ADMIN 等“全能型” capability 当成默认选项。例如:
- 只需绑定端口
80?用CAP_NET_BIND_SERVICE即可,无需root - 只需修改系统时间?授予
CAP_SYS_TIME,而非整个CAP_SYS_ADMIN - 需挂载文件系统?优先考虑是否可通过 systemd mount unit 或用户命名空间替代,实在需要再赋
CAP_SYS_ADMIN,并严格限制执行路径和参数
setcap 命令的安全使用规范
setcap 必须由 root 执行,且仅作用于**静态链接的可执行文件**(不能是脚本、shell 封装器或解释器如 python)。常见误操作包括:
- 对脚本设 capability —— 实际无效,内核只检查解释器本身的能力,而解释器通常无权加载脚本能力
- 设了 capability 却未去掉 setuid 位 —— 能力会被忽略,应先
chmod u-s - 用通配符或宽泛路径赋权(如
/usr/bin/*)—— 易误伤,应精确到具体二进制文件,如/usr/local/bin/myserver - 使用
=ep后缀时未验证继承行为 ——ep表示 effective + permitted,子进程默认不会继承,如需继承需额外设置ambient或用capsh调试
getcap 命令的日常检查要点
getcap 是审计 capability 配置的首选工具,建议定期扫描关键路径:
- 查单个文件:
getcap /usr/bin/ping→ 输出/usr/bin/ping = cap_net_raw+ep - 递归查敏感目录:
getcap -r /usr/bin 2>/dev/null | grep -v "No such file" - 识别异常能力组合:
getcap -r /usr 2>/dev/null | grep "cap_sys_admin\|cap_dac_override" - 注意输出中的
+eip含义:e=effective,i=inheritable,p=permitted;生产环境一般只需+ep,避免不必要的i
能力管理的补充注意事项
capability 不是万能补丁,需结合其他机制形成纵深防御:
- Capability 无法绕过 DAC(文件权限)、MAC(SELinux/AppArmor)或 namespace 限制
- 容器中(如 Docker)默认丢弃多数 capability,启用需显式加
--cap-add,且应禁用--privileged - 升级软件包后,重装可能覆盖原有 capability 设置,建议将
setcap步骤纳入部署脚本并做幂等校验 - 调试时可用
capsh --print查看当前 shell 的 capability 集合,或cat /proc/$PID/status | grep Cap查进程实际生效能力
