Grsecurity/附錄/許可權名稱和描述

Grsecurity/附錄
PaX 標記	許可權名稱和描述	系統資源

此表列出了所有標準 Linux 許可權以及一個與 grsecurity 相關的特殊許可權。透過許可權，系統被劃分為邏輯組，這些組可以單獨授予或從不同的程序中移除。有關更多資訊，請參閱許可權限制。

許可權名稱	含義
CAP_ALL	CAP_ALL 不是真正的許可權，但已編碼到`gradm`以表示所有許可權。因此，為了表示所有許可權的刪除，但 CAP_SETUID，-CAP_ALL 和 +CAP_SETUID 將被使用。
CAP_CHOWN	在定義了 [_POSIX_CHOWN_RESTRICTED] 選項的系統中，這會覆蓋更改檔案所有權和組所有權的限制。
CAP_DAC_OVERRIDE	覆蓋所有 DAC 訪問，包括 ACL 執行訪問（如果定義了 [_POSIX_ACL]）。不包括 CAP_LINUX_IMMUTABLE 覆蓋的 DAC 訪問。
CAP_DAC_READ_SEARCH	覆蓋所有 DAC 限制，關於檔案和目錄的讀取和搜尋，包括 ACL 限制（如果定義了 [_POSIX_ACL]）。不包括 CAP_LINUX_IMMUTABLE 覆蓋的 DAC 訪問。
CAP_FOWNER	覆蓋所有關於對檔案的允許操作的限制，其中檔案所有者 ID 必須等於使用者 ID，除非 CAP_FSETID 可用。它不會覆蓋 MAC 和 DAC 限制。
CAP_FSETID	覆蓋以下限制：在將 S_ISUID 和 S_ISGID 位設定在該檔案上時，有效使用者 ID 應與檔案所有者 ID 匹配；在將 S_ISGID 位設定在該檔案上時，有效組 ID（或補充組 ID 之一）應與檔案所有者 ID 匹配；從`chown(2)`（未實現）成功返回時，S_ISUID 和 S_ISGID 位被清除。
CAP_KILL	覆蓋限制，即傳送訊號的程序的真實或有效使用者 ID 必須與接收訊號的程序的真實或有效使用者 ID 匹配。
CAP_SETGID	允許`setgid(2)`操作。允許`setgroups(2)`. 允許在傳遞套接字憑據時偽造 gid。
CAP_SETUID	允許`set*uid(2)`操作（包括 fsuid）。允許在傳遞套接字憑據時偽造 pid。
CAP_SETPCAP	在沒有 VFS 許可權支援的情況下將您允許集中集中的任何許可權轉移到任何 pid，從任何 pid 中刪除您允許集中集中的任何許可權。在 VFS 許可權支援（上述兩者均無，但）的情況下將當前許可權繫結集中集中的任何許可權新增到當前程序的可繼承集中允許從許可權繫結集中刪除位。允許修改程序的安全位。
CAP_LINUX_IMMUTABLE	允許修改 S_IMMUTABLE 和 S_APPEND 檔案屬性。
CAP_NET_BIND_SERVICE	允許繫結到低於 1024 的 TCP/UDP 套接字。允許繫結到低於 32 的 ATM VCI。
CAP_NET_BROADCAST	允許廣播，監聽多播。
CAP_NET_ADMIN	允許介面配置。允許管理 IP 防火牆、偽裝和記賬。允許在套接字上設定除錯選項。允許修改路由表。允許在套接字上設定任意程序/程序組所有權。允許繫結到任何地址以進行透明代理。允許設定 TOS（服務型別）。允許設定混雜模式。允許清除驅動程式統計資訊。允許多播。允許讀取/寫入裝置特定的暫存器。允許啟用 ATM 控制套接字。
CAP_NET_RAW	允許使用 RAW 套接字。允許使用 PACKET 套接字。
CAP_IPC_LOCK	允許鎖定共享記憶體段。允許`mlock`和`mlockall`（與 IPC 實際上沒有關係）。
CAP_IPC_OWNER	覆蓋 IPC 所有權檢查。
CAP_SYS_MODULE	插入和刪除核心模組 - 無限制地修改核心。
CAP_SYS_RAWIO	允許 ioperm/iopl 訪問允許透過 /proc/bus/usb' 向任何裝置傳送 USB 訊息
CAP_SYS_CHROOT	允許使用`chroot()`.
CAP_SYS_PTRACE	允許`ptrace()`任何程序。
CAP_SYS_PACCT	允許配置程序記賬。
CAP_SYS_ADMIN	允許配置安全注意鍵。允許管理隨機裝置。允許檢查和配置磁碟配額。允許配置核心的 syslog（printk 行為）。允許設定域名。允許設定主機名。允許呼叫`bdflush()`. 允許`mount()`和`umount()`，設定新的 smb 連線。允許一些 autofs 根 ioctl。允許 nfsservctl。允許 VM86_REQUEST_IRQ。允許在 alpha 上讀取/寫入 pci 配置。允許 mips 上的 irix_prctl（setstacksize）。允許在 m68k 上重新整理所有快取（sys_cacheflush）。允許刪除訊號量。用於代替 CAP_CHOWN 來“chown” IPC 訊息佇列、訊號量和共享記憶體。允許鎖定/解鎖共享記憶體段。允許開啟/關閉交換。允許在傳遞套接字憑據時偽造 pid。允許在塊裝置上設定預讀並重新整理緩衝區。允許在軟盤驅動器中設定幾何形狀。允許在 xd 驅動程式中開啟/關閉 DMA。允許管理 md 裝置（主要是在上面，但有一些額外的 ioctl）。允許調整 ide 驅動程式。允許訪問 nvram 裝置。允許管理 apm_bios、序列和 bttv（電視）裝置。允許在 isdn CAPI 支援驅動程式中執行製造商命令。允許讀取 pci 配置空間的非標準部分。允許在 sbpcd 驅動程式上進行 DDI 除錯 ioctl。允許設定序列埠。允許傳送原始 qic-117 命令。允許在 SCSI 控制器上啟用/停用帶標籤的排隊併發送任意 SCSI 命令。允許在迴環檔案系統上設定加密金鑰。允許設定區域回收策略。
CAP_SYS_BOOT	允許使用`reboot()` 允許使用`kexec()`系統呼叫
CAP_SYS_NICE	允許提高優先順序並在其他（不同的 UID）程序上設定優先順序。允許在自己的程序上使用 FIFO 和迴圈輪詢（即時）排程，並設定其他程序使用的排程演算法。允許在其他程序上設定 cpu 親和性。
CAP_SYS_RESOURCE	覆蓋資源限制。設定資源限制。覆蓋配額限制覆蓋 ext2 檔案系統上的保留空間修改 ext3 檔案系統上的資料日誌記錄模式（使用日誌記錄資源）。注意：ext2 在檢查資源覆蓋時會尊重 fsuid，因此您也可以使用 fsuid 來覆蓋。覆蓋 IPC 訊息佇列的大小限制。允許即時時鐘發出超過 64Hz 的中斷。覆蓋控制檯分配中的最大控制檯數量。覆蓋最大鍵對映數量。
CAP_SYS_TIME	允許作業系統時鐘。允許`irix_stime`在 mips 上。允許設定即時時鐘。
CAP_SYS_TTY_CONFIG	允許配置 tty 裝置。允許`vhangup()`tty 的。
CAP_MKNOD	允許的特權方面`mknod()`.
CAP_LEASE	允許對檔案進行租賃。
CAP_AUDIT_WRITE	允許發出審計訊息。
CAP_AUDIT_CONTROL	允許管理核心的審計系統。
CAP_SETFCAP	允許設定檔案許可權。
CAP_MAC_OVERRIDE	覆蓋 MAC 訪問。基本核心不執行任何 MAC 策略。LSM 可能會執行 MAC 策略，如果這樣做並且它選擇實現基於許可權的該策略的覆蓋，那麼這就是它應該用來執行此操作的許可權。
CAP_MAC_ADMIN	允許 MAC 配置或狀態更改。基本核心不需要任何 MAC 配置。LSM 可能會執行 MAC 策略，如果這樣做並且它選擇實現基於許可權的該策略或維護該策略所需資料的修改的檢查，那麼這就是它應該用來執行此操作的許可權。
CAP_SYSLOG	允許配置核心的 syslog（printk 行為）。
CAP_WAKE_ALARM	允許觸發將喚醒系統的內容。

下一頁：系統資源 | 上一頁： PaX 標記
主頁： Grsecurity/附錄