//20180304
sudo 是干嘛的?
root和capacility有什么区别?是不是有了root就有了所有?root的进程是
并不是说root执行的进程他就会有所有的capacility,还需要
http://www.iteye.com/topic/807807
// 20180304 12:33
其中docker 支持的权限包括下面:
| CAP_NET_RAW 13 | 1 |
| CAP_NET_BIND_SERVICE 10 | 1 |
| CAP_AUDIT_READ 37 | 1 |
| CAP_AUDIT_WRITE 29 | 1 |
| CAP_DAC_OVERRIDE 1 | 1 |
| CAP_SETFCAP 31 | 1 |
| CAP_SETPCAP 8 | 1 |
| CAP_SETGID 6 | 1 |
| CAP_SETUID 7 | 1 |
| CAP_MKNOD 27 | 1 |
| CAP_CHOWN 0 | 1 |
| CAP_FOWNER 3 | 1 |
| CAP_FSETID 4 | 1 |
| CAP_KILL 5 | 1 |
| CAP_SYS_CHROOT 18 |
linux内核支持的所有的权限:
(不看不知道,linux内核中的权限管理还真是复杂,信息量颇多,后面就开始慢慢积累吧,看下capacilitys)
CAP_CHOWN:修改文件属主的权限
CAP_DAC_OVERRIDE:忽略文件的DAC访问限制
CAP_DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制
CAP_FOWNER:忽略文件属主ID必须和进程用户ID相匹配的限制
CAP_FSETID:允许设置文件的setuid位
CAP_KILL:允许对不属于自己的进程发送信号
CAP_SETGID:允许改变进程的组ID
CAP_SETUID:允许改变进程的用户ID
CAP_SETPCAP:允许向其他进程转移能力以及删除其他进程的能力
CAP_LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志
CAP_NET_BIND_SERVICE:允许绑定到小于1024的端口
CAP_NET_BROADCAST:允许网络广播和多播访问
CAP_NET_ADMIN:允许执行网络管理任务
CAP_NET_RAW:允许使用原始套接字
CAP_IPC_LOCK:允许锁定共享内存片段
CAP_IPC_OWNER:忽略IPC所有权检查
CAP_SYS_MODULE:允许插入和删除内核模块
CAP_SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备
CAP_SYS_CHROOT:允许使用chroot()系统调用
CAP_SYS_PTRACE:允许跟踪任何进程
CAP_SYS_PACCT:允许执行进程的BSD式审计
CAP_SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等
CAP_SYS_BOOT:允许重新启动系统
CAP_SYS_NICE:允许提升优先级及设置其他进程的优先级
CAP_SYS_RESOURCE:忽略资源限制
CAP_SYS_TIME:允许改变系统时钟
CAP_SYS_TTY_CONFIG:允许配置TTY设备
CAP_MKNOD:允许使用mknod()系统调用
CAP_LEASE:允许修改文件锁的FL_LEASE标志