Grsecurity/附录/权限名称和描述

Grsecurity/附录
PaX 标记	权限名称和描述	系统资源

此表列出了所有标准 Linux 权限以及一个与 grsecurity 相关的特殊权限。通过权限，系统被划分为逻辑组，这些组可以单独授予或从不同的进程中移除。有关更多信息，请参阅权限限制。

权限名称	含义
CAP_ALL	CAP_ALL 不是真正的权限，但已编码到`gradm`以表示所有权限。因此，为了表示所有权限的删除，但 CAP_SETUID，-CAP_ALL 和 +CAP_SETUID 将被使用。
CAP_CHOWN	在定义了 [_POSIX_CHOWN_RESTRICTED] 选项的系统中，这会覆盖更改文件所有权和组所有权的限制。
CAP_DAC_OVERRIDE	覆盖所有 DAC 访问，包括 ACL 执行访问（如果定义了 [_POSIX_ACL]）。不包括 CAP_LINUX_IMMUTABLE 覆盖的 DAC 访问。
CAP_DAC_READ_SEARCH	覆盖所有 DAC 限制，关于文件和目录的读取和搜索，包括 ACL 限制（如果定义了 [_POSIX_ACL]）。不包括 CAP_LINUX_IMMUTABLE 覆盖的 DAC 访问。
CAP_FOWNER	覆盖所有关于对文件的允许操作的限制，其中文件所有者 ID 必须等于用户 ID，除非 CAP_FSETID 可用。它不会覆盖 MAC 和 DAC 限制。
CAP_FSETID	覆盖以下限制：在将 S_ISUID 和 S_ISGID 位设置在该文件上时，有效用户 ID 应与文件所有者 ID 匹配；在将 S_ISGID 位设置在该文件上时，有效组 ID（或补充组 ID 之一）应与文件所有者 ID 匹配；从`chown(2)`（未实现）成功返回时，S_ISUID 和 S_ISGID 位被清除。
CAP_KILL	覆盖限制，即发送信号的进程的真实或有效用户 ID 必须与接收信号的进程的真实或有效用户 ID 匹配。
CAP_SETGID	允许`setgid(2)`操作。允许`setgroups(2)`. 允许在传递套接字凭据时伪造 gid。
CAP_SETUID	允许`set*uid(2)`操作（包括 fsuid）。允许在传递套接字凭据时伪造 pid。
CAP_SETPCAP	在没有 VFS 权限支持的情况下将您允许集中集中的任何权限转移到任何 pid，从任何 pid 中删除您允许集中集中的任何权限。在 VFS 权限支持（上述两者均无，但）的情况下将当前权限绑定集中集中的任何权限添加到当前进程的可继承集中允许从权限绑定集中删除位。允许修改进程的安全位。
CAP_LINUX_IMMUTABLE	允许修改 S_IMMUTABLE 和 S_APPEND 文件属性。
CAP_NET_BIND_SERVICE	允许绑定到低于 1024 的 TCP/UDP 套接字。允许绑定到低于 32 的 ATM VCI。
CAP_NET_BROADCAST	允许广播，监听多播。
CAP_NET_ADMIN	允许接口配置。允许管理 IP 防火墙、伪装和记账。允许在套接字上设置调试选项。允许修改路由表。允许在套接字上设置任意进程/进程组所有权。允许绑定到任何地址以进行透明代理。允许设置 TOS（服务类型）。允许设置混杂模式。允许清除驱动程序统计信息。允许多播。允许读取/写入设备特定的寄存器。允许激活 ATM 控制套接字。
CAP_NET_RAW	允许使用 RAW 套接字。允许使用 PACKET 套接字。
CAP_IPC_LOCK	允许锁定共享内存段。允许`mlock`和`mlockall`（与 IPC 实际上没有关系）。
CAP_IPC_OWNER	覆盖 IPC 所有权检查。
CAP_SYS_MODULE	插入和删除内核模块 - 无限制地修改内核。
CAP_SYS_RAWIO	允许 ioperm/iopl 访问允许通过 /proc/bus/usb' 向任何设备发送 USB 消息
CAP_SYS_CHROOT	允许使用`chroot()`.
CAP_SYS_PTRACE	允许`ptrace()`任何进程。
CAP_SYS_PACCT	允许配置进程记账。
CAP_SYS_ADMIN	允许配置安全注意键。允许管理随机设备。允许检查和配置磁盘配额。允许配置内核的 syslog（printk 行为）。允许设置域名。允许设置主机名。允许调用`bdflush()`. 允许`mount()`和`umount()`，设置新的 smb 连接。允许一些 autofs 根 ioctl。允许 nfsservctl。允许 VM86_REQUEST_IRQ。允许在 alpha 上读取/写入 pci 配置。允许 mips 上的 irix_prctl（setstacksize）。允许在 m68k 上刷新所有缓存（sys_cacheflush）。允许删除信号量。用于代替 CAP_CHOWN 来“chown” IPC 消息队列、信号量和共享内存。允许锁定/解锁共享内存段。允许打开/关闭交换。允许在传递套接字凭据时伪造 pid。允许在块设备上设置预读并刷新缓冲区。允许在软盘驱动器中设置几何形状。允许在 xd 驱动程序中打开/关闭 DMA。允许管理 md 设备（主要是在上面，但有一些额外的 ioctl）。允许调整 ide 驱动程序。允许访问 nvram 设备。允许管理 apm_bios、串行和 bttv（电视）设备。允许在 isdn CAPI 支持驱动程序中执行制造商命令。允许读取 pci 配置空间的非标准部分。允许在 sbpcd 驱动程序上进行 DDI 调试 ioctl。允许设置串行端口。允许发送原始 qic-117 命令。允许在 SCSI 控制器上启用/禁用带标签的排队并发送任意 SCSI 命令。允许在回环文件系统上设置加密密钥。允许设置区域回收策略。
CAP_SYS_BOOT	允许使用`reboot()` 允许使用`kexec()`系统调用
CAP_SYS_NICE	允许提高优先级并在其他（不同的 UID）进程上设置优先级。允许在自己的进程上使用 FIFO 和循环轮询（实时）调度，并设置其他进程使用的调度算法。允许在其他进程上设置 cpu 亲和性。
CAP_SYS_RESOURCE	覆盖资源限制。设置资源限制。覆盖配额限制覆盖 ext2 文件系统上的保留空间修改 ext3 文件系统上的数据日志记录模式（使用日志记录资源）。注意：ext2 在检查资源覆盖时会尊重 fsuid，因此您也可以使用 fsuid 来覆盖。覆盖 IPC 消息队列的大小限制。允许实时时钟发出超过 64Hz 的中断。覆盖控制台分配中的最大控制台数量。覆盖最大键映射数量。
CAP_SYS_TIME	允许操作系统时钟。允许`irix_stime`在 mips 上。允许设置实时时钟。
CAP_SYS_TTY_CONFIG	允许配置 tty 设备。允许`vhangup()`tty 的。
CAP_MKNOD	允许的特权方面`mknod()`.
CAP_LEASE	允许对文件进行租赁。
CAP_AUDIT_WRITE	允许发出审计消息。
CAP_AUDIT_CONTROL	允许管理内核的审计系统。
CAP_SETFCAP	允许设置文件权限。
CAP_MAC_OVERRIDE	覆盖 MAC 访问。基本内核不执行任何 MAC 策略。LSM 可能会执行 MAC 策略，如果这样做并且它选择实现基于权限的该策略的覆盖，那么这就是它应该用来执行此操作的权限。
CAP_MAC_ADMIN	允许 MAC 配置或状态更改。基本内核不需要任何 MAC 配置。LSM 可能会执行 MAC 策略，如果这样做并且它选择实现基于权限的该策略或维护该策略所需数据的修改的检查，那么这就是它应该用来执行此操作的权限。
CAP_SYSLOG	允许配置内核的 syslog（printk 行为）。
CAP_WAKE_ALARM	允许触发将唤醒系统的内容。

下一页：系统资源 | 上一页： PaX 标记
主页： Grsecurity/附录