ケーパビリティのリスト

CAP_AUDIT_CONTROL (Linux 2.6.11 以降)

カーネル監査 (audit) の有効無効の切り替え、監査のフィルタルールの変更、監査の状況やフィルタルールの取得ができる。

CAP_AUDIT_WRITE (Linux 2.6.11 以降)

カーネル監査のログにレコードを書き込む。

CAP_BLOCK_SUSPEND (Linux 3.5 以降)

Employ features that can block system suspend ( epoll(7) EPOLLWAKEUP, /proc/sys/wake_lock).

CAP_CHOWN

ファイルの UID とGID を任意に変更する ( chown(2) 参照)。

CAP_DAC_OVERRIDE

ファイルの読み出し、書き込み、実行の権限チェックをバイパスする (DAC は "discretionary access control (任意のアクセス制御)"の略である)。

CAP_DAC_READ_SEARCH

ファイルの読み出し権限のチェックとディレクトリの読み出しと実行の権限チェックをバイパスする。

CAP_FOWNER

CAP_FSETID

ファイルが変更されたときに set-user-ID とset-group-ID の許可ビットをクリアしない。呼び出し元プロセスのファイルシステム GID と追加の GID のいずれとも GID が一致しないファイルに対して set-group-ID ビットを設定する。

CAP_IPC_LOCK

メモリーのロック ( mlock(2), mlockall(2), mmap(2), shmctl(2)) を行う。

CAP_IPC_OWNER

System V IPC オブジェクトに対する操作に関して権限チェックをバイパスする。

CAP_KILL

シグナルを送信する際に権限チェックをバイパスする ( kill(2) 参照)。これには ioctl(2) の KDSIGACCEPT 操作の使用も含まれる。

CAP_LEASE (Linux 2.4 以降)

任意のファイルに対してファイルリースを設定する ( fcntl(2) 参照)。

CAP_LINUX_IMMUTABLE

拡張ファイル属性 FS_APPEND_FL と FS_IMMUTABLE_FL を設定する ( chattr(1) 参照)。

CAP_MAC_ADMIN (Linux 2.6.25 以降)

強制アクセス制御 (MAC) を上書きする。 Smack Linux Security Module (LSM) 用に実装されている。

CAP_MAC_OVERRIDE (Linux 2.6.25 以降)

MAC の設定や状態を変更する。 Smack LSM 用に実装されている。

CAP_MKNOD (Linux 2.4 以降)

(Linux 2.4 以降) mknod(2) を使用してスペシャルファイルを作成する。

CAP_NET_ADMIN

各種のネットワーク関係の操作を実行する:

CAP_NET_BIND_SERVICE

インターネットドメインの特権ポート (ポート番号が 1024 番未満) をバインドできる。

CAP_NET_BROADCAST

(未使用) ソケットのブロードキャストと、マルチキャストの待ち受けを行う。

CAP_NET_RAW

CAP_SETGID

プロセスの GID と追加の GID リストに対する任意の操作を行う。 UNIX ドメインソケット経由でソケットの資格情報 (credential) を渡す際に偽の GID を渡すことができる。

CAP_SETFCAP (Linux 2.6.24 以降)

ファイルケーパビリティを設定する。

CAP_SETPCAP

ファイルケーパビリティがサポートされていない場合: 呼び出し元が許可されているケーパビリティセットに含まれる任意のケーパビリティを、他のプロセスに付与したり、削除したりできる。 (カーネルがファイルケーパビリティをサポートしている場合、 CAP_SETPCAP はこの役割を持たない。なぜなら、ファイルケーパビリティをサポートしているカーネルでは CAP_SETPCAP は全く別の意味を持つからである。)

 

ファイルケーパビリティがサポートされている場合: 呼び出し元スレッドのバウンディングセットの任意のケーパビリティを自身の継承可能ケーパビリティセットに追加できる。 ( prctl(2) PR_CAPBSET_DROP を使って) バウンディングセットからケーパビリティを削除できる。 securebits フラグを変更できる。

CAP_SETUID

プロセスの UID に対する任意の操作 ( setuid(2), setreuid(2), setresuid(2), setfsuid(2)) を行う。 UNIX ドメインソケット経由でソケットの資格情報 (credential) を渡す際に偽の UID を渡すことができる。

CAP_SYS_ADMIN

CAP_SYS_BOOT

reboot(2) と kexec_load(2) を呼び出す。

CAP_SYS_CHROOT

chroot(2). を呼び出す。

CAP_SYS_MODULE

カーネルモジュールのロード、アンロードを行う ( init_module(2) と delete_module(2) を参照のこと)。バージョン 2.6.25 より前のカーネルで、システム全体のケーパビリティバウンディングセット (capability bounding set) からケーパビリティを外す。

CAP_SYS_NICE

CAP_SYS_PACCT

acct(2) を呼び出す。

CAP_SYS_PTRACE

Trace arbitrary processes using ptrace(2); apply get_robust_list(2) to arbitrary processes; inspect processes using kcmp(2).

CAP_SYS_RAWIO

CAP_SYS_RESOURCE

CAP_SYS_TIME

システムクロックを変更する ( settimeofday(2), stime(2), adjtimex(2))。リアルタイム (ハードウェア) クロックを変更する。

CAP_SYS_TTY_CONFIG

vhangup(2) を使用する。特権が必要な仮想端末に関する各種の ioctl(2) 操作を利用できる。

CAP_SYSLOG (Linux 2.6.37 以降)

*

特権が必要な syslog(2) 操作を実行できる。どの操作が特権が必要かについての情報は syslog(2) を参照。

*

View kernel addresses exposed via /proc and other interfaces when /proc/sys/kernel/kptr_restrict has the value 1. (See the discussion of the kptr_restrict in proc(5).)

CAP_WAKE_ALARM (Linux 3.0 以降)

システムを起こすトリガーを有効にする (タイマー CLOCK_REALTIME_ALARM や CLOCK_BOOTTIME_ALARM を設定する)。

過去と現在の実装

1.

全ての特権操作について、カーネルはそのスレッドの実効ケーパビリティセットに必要なケーパビリティがあるかを確認する。

2.

カーネルで、あるスレッドのケーパビリティセットを変更したり、取得したりできるシステムコールが提供される。

3.

ファイルシステムが、実行可能ファイルにケーパビリティを付与でき、ファイル実行時にそのケーパビリティをプロセスが取得できるような機能をサポートする。

カーネル 2.6.24 より前では、最初の 2つの要件のみが満たされている。カーネル 2.6.24 以降では、3つの要件すべてが満たされている。

スレッドケーパビリティセット

許可 (permitted):

そのスレッドが持つことになっている実効ケーパビリティの限定的なスーパーセットである。これは、実効ケーパビリティセットに CAP_SETPCAP ケーパビリティを持っていないスレッドが継承可能ケーパビリティセットに追加可能なケーパビリティの限定的なスーパーセットでもある。

 

許可ケーパビリティセットから削除してしまったケーパビリティは、 (set-user-ID-root プログラムか、そのケーパビリティをファイルケーパビリティで許可しているプログラムを execve(2) しない限りは) もう一度獲得することはできない。

継承可能 (inheritable):

execve(2) を前後で保持されるケーパビリティセットである。この仕組みを使うことで、あるプロセスが execve(2) を行う際に新しいプログラムの許可ケーパビリティセットとして割り当てるケーパビリティを指定することができる。

実効 (effective):

カーネルがスレッドの権限 (permission) をチェックするときに使用するケーパビリティセットである。

fork(2) で作成される子プロセスは、親のケーパビリティセットのコピーを継承する。 execve(2) 中のケーパビリティの扱いについては下記を参照のこと。

capset(2) を使うと、プロセスは自分自身のケーパビリティセットを操作することができる (下記参照)。

Since Linux 3.2, the file /proc/sys/kernel/cap_last_cap exposes the numerical value of the highest capability supported by the running kernel; this can be used to determine the highest bit that may be set in a capability set.

ファイルケーパビリティ

許可 (Permitted) (以前の 強制 (Forced)):

スレッドの継承可能ケーパビリティに関わらず、そのスレッドに自動的に認められるケーパビリティ。

継承可能 (Inheritable) (以前の 許容 (Allowed)):

このセットと、スレッドの継承可能ケーパビリティセットとの論理積 (AND) がとられ、 execve(2) の後にそのスレッドの許可ケーパビリティセットで有効となる継承可能ケーパビリティが決定される。

実効 (effective):

これは集合ではなく、1 ビットの情報である。このビットがセットされていると、 execve(2) 実行中に、そのスレッドの新しい許可ケーパビリティが全て実効ケーパビリティ集合においてもセットされる。このビットがセットされていない場合、 execve(2) 後には新しい許可ケーパビリティのどれも新しい実効ケーパビリティ集合にセットされない。

 

ファイルの実効ケーパビリティビットを有効にするというのは、 execve(2) 実行時に、ファイルの許可ケーパビリティと継承ケーパビリティに対応するものがスレッドの許可ケーパビリティセットとしてセットされるが、これが実効ケーパビリティセットにもセットされるということである (ケーパビリティの変換ルールは下記参照)。したがって、ファイルにケーパビリティを割り当てる際 ( setcap(8), cap_set_file(3), cap_set_fd(3))、いずれかのケーパビリティに対して実効フラグを有効と指定する場合、許可フラグや継承可能フラグを有効にした他の全てのケーパビリティについても実効フラグを有効と指定しなければならない。

execve() 中のケーパビリティの変換

P'(permitted) = (P(inheritable) & F(inheritable)) |
(F(permitted) & cap_bset)

P'(effective) = F(effective) ? P'(permitted) : 0

P'(inheritable) = P(inheritable) [つまり、変更されない]

各変数の意味は以下の通り:

ケーパビリティと、ルートによるプログラムの実行

1.

set-user-ID-root プログラムが実行される場合、またはプロセスの実ユーザ ID が 0 (root) の場合、ファイルの継承可能セットと許可セットを全て 1 (全てのケーパビリティが有効) に定義する。

2.

set-user-ID-root プログラムが実行される場合、ファイルの実効ケーパビリティビットを 1 (enabled) に定義する。

上記のルールにケーパビリティ変換を適用した結果をまとめると、プロセスが set-user-ID-root プログラムを execve(2) する場合、または実効 UID が 0 のプロセスがプログラムを execve(2) する場合、許可と実効のケーパビリティセットの全ケーパビリティ (正確には、ケーパビリティバウンディングセットによるマスクで除外されるもの以外の全てのケーパビリティ) を取得するということである。これにより、伝統的な UNIX システムと同じ振る舞いができるようになっている。

ケーパビリティ・バウンディングセット

*

execve(2) 実行時に、ケーパビリティ・バウンディングセットとファイルの許可ケーパビリティセットの論理和 (AND) を取ったものが、そのスレッドの許可ケーパビリティセットに割り当てられる。つまり、ケーパビリティ・バウンディングセットは、実行ファイルが認めている許可ケーパビリティに対して制限を課す働きをする。

*

(Linux 2.6.25 以降) ケーパビリティ・バウンディングセットは、スレッドが capset(2) により自身の継承可能セットに追加可能なケーパビリティの母集団を制限する役割を持つ。スレッドに許可されたケーパビリティであっても、バウンディングセットに含まれていなければ、スレッドはそのケーパビリティは自身の継承可能セットに追加できず、その結果、継承可能セットにそのケーパビリティを含むファイルを execve(2) する場合、そのケーパビリティを許可セットに持ち続けることができない、ということである。

バウンディングセットがマスクを行うのは、継承可能ケーパビリティではなく、ファイルの許可ケーパビリティのマスクを行う点に注意すること。あるスレッドの継承可能セットにそのスレッドのバウンディングセットに存在しないケーパビリティが含まれている場合、そのスレッドは、継承可能セットに含まれるケーパビリティを持つファイルを実行することにより、許可セットに含まれるケーパビリティも獲得できるということである。

カーネルのバージョンにより、ケーパビリティ・バウンディングセットはシステム共通の属性の場合と、プロセス単位の属性の場合がある。

Linux 2.6.25 より前のケーパビリティ・バウンディングセット

2.6.25 より前のカーネルでは、ケーパビリティ・バウンディングセットはシステム共通の属性で、システム上の全てのスレッドに適用される。バウンディングセットは /proc/sys/kernel/cap-bound ファイル経由で参照できる。 (間違えやすいが、このビットマスク形式のパラメータは、 /proc/sys/kernel/cap-bound では符号付きの十進数で表現される。)

init プロセスだけがケーパビリティ・バウンディングセットでケーパビリティをセットすることができる。それ以外では、スーパーユーザ (より正確には、 CAP_SYS_MODULE ケーパビリティを持ったプログラム) が、ケーパビリティ・バウンディングセットのケーパビリティのクリアができるだけである。

通常のシステムでは、ケーパビリティ・バウンディングセットは、 CAP_SETPCAP が無効になっている。この制限を取り去るには (取り去るのは危険!)、 include/linux/capability.h 内の CAP_INIT_EFF_SET の定義を修正し、カーネルを再構築する必要がある。

システム共通のケーパビリティ・バウンディングセット機能は、カーネル 2.2.11 以降で Linux に追加された。

Linux 2.6.25 以降のケーパビリティ・バウンディングセット

Linux 2.6.25 以降では、「ケーパビリティ・バウンディングセット」はスレッド単位の属性である (システム共通のケーパビリティ・バウンディングセットはもはや存在しない)。

バウンディングセットは fork(2) 時にはスレッドの親プロセスから継承され、 execve(2) の前後では保持される。

スレッドが CAP_SETPCAP ケーパビリティを持っている場合、そのスレッドは prctl(2) の PR_CAPBSET_DROP 操作を使って自身のケーパビリティ・バウンディングセットからケーパビリティを削除することができる。いったんケーパビリティをバウンディングセットから削除してしまうと、スレッドはそのケーパビリティを再度セットすることはできない。 prctl(2) の PR_CAPBSET_READ 操作を使うことで、スレッドがあるケーパビリティが自身のバウンディングセットに含まれているかを知ることができる。

バウンディングセットからのケーパビリティの削除がサポートされるのは、カーネルのコンパイル時にファイルケーパビリティが有効になっている場合だけである。Linux 2.6.33 より前のカーネルでは、ファイルケーパビリティは設定オプション CONFIG_SECURITY_FILE_CAPABILITIES で切り替えられる追加の機能であった。Linux 2.6.33 以降では、この設定オプションは削除され、ファイルケーパビリティは常にカーネルに組込まれるようになった。ファイルケーパビリティがカーネルにコンパイル時に組み込まれている場合、 (全てのプロセスの先祖である) init プロセスはバウンディングセットで全てのケーパビリティがセットされた状態で開始する。ファイルケーパビリティが有効になっていない場合には、 init はバウンディングセットで CAP_SETPCAP 以外の全てのケーパビリティがセットされた状態で開始する。このようになっているのは、 CAP_SETPCAP ケーパビリティがファイルケーパビリティがサポートされていない場合には違った意味を持つからである。

バウンディングセットからケーパビリティを削除しても、スレッドの継承可能セットからはそのケーパビリティは削除されない。しかしながら、バウンディングセットからの削除により、この先そのケーパビリティをスレッドの継承可能セットに追加することはできなくなる。

ユーザ ID 変更のケーパビリティへの影響

1.

UID の変更前には実 UID、実効 UID、保存 set-user-ID のうち少なくとも一つが 0 で、変更後に実 UID、実効 UID、保存 set-user-ID がすべて 0 以外の値になった場合、許可と実効のケーパビリティセットの全ケーパビリティをクリアする。

2.

実効 UID が 0 から 0 以外に変更された場合、実効ケーパビリティセットの全ケーパビリティをクリアする。

3.

実効 UID が 0 以外から 0 に変更された場合、許可ケーパビリティセットの内容を実効ケーパビリティセットにコピーする。

4.

ファイルシステム UID が 0 から 0 以外に変更された場合 ( setfsuid(2) 参照)、実効ケーパビリティセットの以下のケーパビリティがクリアされる: CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID, CAP_LINUX_IMMUTABLE (Linux 2.2.30 以降), CAP_MAC_OVERRIDE, CAP_MKNOD (Linux 2.2.30 以降)。ファイルシステム UID が 0 以外から 0 に変更された場合、上記のケーパビリティのうち許可ケーパビリティセットで有効になっているものが実効ケーパビリティセットで有効にされる。

各種 UID のうち少なくとも一つが 0 であるスレッドが、その UID の全てが 0 以外になったときに許可ケーパビリティセットがクリアされないようにしたい場合には、 prctl(2) の PR_SET_KEEPCAPS 操作を使えばよい。

プログラムでケーパビリティセットを調整する

1.

呼び出し側が CAP_SETPCAP ケーパビリティを持っていない場合、新しい継承可能セットは、既存の継承可能セットと許可セットの積集合 (AND) の部分集合でなければならない。

2.

(Linux 2.6.25 以降) 新しい継承可能セットは、既存の継承可能セットとケーパビリティ・バウンディングセットの積集合 (AND) の部分集合でなければならない。

3.

新しい許可セットは、既存の許可セットの部分集合でなければならない (つまり、そのスレッドが現在持っていない許可ケーパビリティを獲得することはできない)。

4.

新しい実効ケーパビリティセットは新しい許可ケーパビリティセットの部分集合になっていなければならない。

securebits フラグ: ケーパビリティだけの環境を構築する

SECBIT_KEEP_CAPS

このフラグをセットされている場合、UID が 0 のスレッドの UID が 0 以外の値に切り替わる際に、そのスレッドはケーパビリティを維持することができる。このフラグがセットされていない場合には、UID が 0 から 0 以外の値に切り替わると、そのスレッドは全てのケーパビリティを失う。このフラグは execve(2) 時には全てクリアされる (このフラグは、以前の prctl(2) の PR_SET_KEEPCAPS 操作と同じ機能を提供するものである)。

SECBIT_NO_SETUID_FIXUP

このフラグをセットすると、スレッドの実効 UID とファイルシステム UID が 0 と 0 以外の間で切り替わった場合に、カーネルはケーパビリティセットの調整を行わなくなる (「ユーザ ID 変更のケーパビリティへの影響」の節を参照)。

SECBIT_NOROOT

このビットがセットされている場合、 set-user-ID-root プログラムの実行時や、実効 UID か実 UID が 0 のプロセスが execve(2) を呼び出した時に、カーネルはケーパビリティを許可しない (「ケーパビリティと、ルートによるプログラムの実行」の節を参照)。

上記の "base"フラグの各々には対応する "locked"フラグが存在する。いずれの "locked"フラグも一度セットされると戻すことはできず、それ以降は対応する "base"フラグを変更することができなくなる。 "locked"フラグは SECBIT_KEEP_CAPS_LOCKED, SECBIT_NO_SETUID_FIXUP_LOCKED, SECBIT_NOROOT_LOCKED という名前である。

securebits フラグは、 prctl(2) の操作 PR_SET_SECUREBITS や PR_GET_SECUREBITS を使うことで変更したり取得したりできる。フラグを変更するには CAP_SETPCAP ケーパビリティが必要である。

securebits フラグは子プロセスに継承される。 execve(2) においては、 SECBIT_KEEP_CAPS が常にクリアされる以外は、全てのフラグが保持される。

アプリケーションは、以下の呼び出しを行うことにより、自分自身および子孫となるプロセス全てに対して、必要なファイルケーパビリティを持ったプログラムを実行しない限り、対応するケーパビリティを獲得できないような状況に閉じこめることができる。

prctl(PR_SET_SECUREBITS,
SECBIT_KEEP_CAPS_LOCKED |
SECBIT_NO_SETUID_FIXUP |
SECBIT_NO_SETUID_FIXUP_LOCKED |
SECBIT_NOROOT |
SECBIT_NOROOT_LOCKED);