.\" Copyright (c) 2002 by Michael Kerrisk (mtk16@ext.canterbury.ac.nz) .\" .\" Permission is granted to make and distribute verbatim copies of this .\" manual provided the copyright notice and this permission notice are .\" preserved on all copies. .\" .\" Permission is granted to copy and distribute modified versions of this .\" manual under the conditions for verbatim copying, provided that the .\" entire resulting derived work is distributed under the terms of a .\" permission notice identical to this one .\" .\" Since the Linux kernel and libraries are constantly changing, this .\" manual page may be incorrect or out-of-date. The author(s) assume no .\" responsibility for errors or omissions, or for damages resulting from .\" the use of the information contained herein. .\" .\" Formatted or processed versions of this manual, if unaccompanied by .\" the source, must acknowledge the copyright and authors of this work. .\" License. .\" .\" 6 Aug 2002 - Initial Creation .\" .\" Traducido por Miguel Pérez Ibars el 20-marzo-2005 .\" .TH CAPABILITIES 7 "6 agosto 2002" "Linux 2.4.18" "Manual del Programador de Linux" .SH NOMBRE capabilities \- visión general del sistema de capacidades de Linux .SH DESCRIPCIÓN Con el propósito de realizar comprobaciones de permisos, las implementaciones tradicionales de Unix distinguen dos categorías de procesos: procesos .I privilegiados (cuyo identificador de usuario efectivo es 0, refiriéndose al superusuario o root) y procesos .I no privilegiados (cuyo identificador de usuario efectivo es distinto de cero). Los procesos privilegiados evitan todas las comprobaciones de permisos del núcleo, mientras que los procesos no privilegiados se ven sujetos a severas comprobaciones de permisos basadas en las credenciales del proceso (normalmente: ID de usuario efectivo, ID de grupo efectivo y lista de grupos adicionales). Desde la versión 2.2 del núcleo, Linux ofrece un (hasta ahora incompleto) sistema de .IR capacidades , que divide los privilegios asociados tradicionalmente al superusuario en unidades distintas que pueden ser activadas y desactivadas independientemente. .SS Lista de capacidades Hasta la versión 2.4.18 de Linux, las siguientes capacidades están implementadas: .TP .B CAP_CHOWN Permite cambios arbitrarios en los IDs de usuario y de grupo de los ficheros (vea .BR chown (2)). .TP .B CAP_DAC_OVERRIDE Evita las comprobaciones de permisos sobre operaciones de lectura, escritura y ejecución. (DAC = "control de acceso discrecional".) .TP .B CAP_DAC_READ_SEARCH Evita comprobaciones de permisos sobre operaciones de lectura de ficheros y lectura y ejecución de directorios. .TP .B CAP_FOWNER Evita comprobaciones de permisos sobre operaciones que normalmente requieren que el ID de usuario del sistema de ficheros del proceso coincida con el ID de usuario del fichero (p.e., .BR utime (2)), excluyendo aquellas operaciones cubiertas por .B CAP_DAC_OVERRIDE y .BR CAP_DAC_READ_SEARCH ; ignora el bit pegajoso (sticky) en el borrado de ficheros. .TP .B CAP_FSETID No borra los bits set-user-ID y set-group-ID cuando se modifica un fichero; permite establecer el bit set-group-ID para un fichero cuyo ID de grupo no coincide con el del sistema de ficheros o cualquier otro ID de grupo adicional del proceso invocador. .TP .B CAP_IPC_LOCK Permite el bloqueo en memoria .RB ( mlock (2), .BR mlockall (2), .BR shmctl (2)). .TP .B CAP_IPC_OWNER Evita comprobaciones de permisos para las operaciones sobre objetos System V IPC. .TP .B CAP_KILL Evita comprobaciones de permisos para enviar señales (vea .BR kill (2)). .TP .B CAP_LEASE (Linux 2.4 en adelante) Permite que se establezcan arriendos sobre ficheros arbitrarios (vea .BR fcntl (2)). .TP .B CAP_LINUX_IMMUTABLE Permite establecer los atributos extendidos .B EXT2_APPEND_FL y .B EXT2_IMMUTABLE_FL sobre ficheros del sistema de ficheros .IR ext2 . .TP .B CAP_MKNOD (Linux 2.4 en adelante) Permite la creación de ficheros especiales usando .BR mknod (2). .TP .B CAP_NET_ADMIN Permite varias operaciones relacionadas con redes (p.e., establecer opciones privilegiadas sobre conectores, habilitar la difusión de paquetes multidestino (\fImulticasting\fR), configuración de interfaces, modificar tablas de encaminamiento). .TP .B CAP_NET_BIND_SERVICE Permite ligar conectores a puertos reservados del dominio de Internet (números de puerto menores que 1024). .TP .B CAP_NET_BROADCAST (No se usa) Permite la difusión universal (\fIbroadcasting\fR) de paquetes a través de un conector y la escucha de paquetes multidestino. .TP .B CAP_NET_RAW Permite el uso de conectores de tipo RAW y PACKET. .TP .B CAP_SETGID Permite manipulaciones arbitrarias de los IDs de grupo y de la lista de IDs de grupo adicionales de un proceso; permite el uso de IDs de grupo falsificados cuando se pasan credenciales de conectores a través de conectores de dominio Unix. .TP .B CAP_SETPCAP Concede o elimina cualquier capacidad en el conjunto de capacidades permitidas del invocador a o desde cualquier otro proceso. .TP .B CAP_SETUID Permite manipulaciones arbitrarias de los IDs de usuario de los procesos .RB ( setuid (2), etc.); permite el uso de IDs de usuario falsificados cuando se pasan credenciales de conectores a través de conectores de dominio Unix. .TP .B CAP_SYS_ADMIN Permite una variedad de operaciones de administración del sistema incluyendo: .BR quotactl (2), .BR mount (2), .BR swapon (2) , .BR sethostname (2), .BR setdomainname (2), .B IPC_SET y operaciones .B IPC_RMID sobre objetos arbitrarios IPC de System V; permite el uso de IDs de usuario falsificados cuando se pasan credenciales de conectores. .TP .B CAP_SYS_BOOT Permite llamadas a .BR reboot (2). .TP .B CAP_SYS_CHROOT Permite llamadas a .BR chroot (2). .TP .B CAP_SYS_MODULE Permite cargar y eliminar módulos del núcleo. .TP .B CAP_SYS_NICE Permite aumentar el valor nice del proceso invocador .RB ( nice (2), .BR setpriority (2)) y cambiar el valor nice de procesos arbitrarios; permite establecer políticas de planificación de tiempo real para el proceso invocador y establecer políticas de planificación y prioridades para procesos arbitrarios .RB ( sched_setscheduler "(2), " sched_setparam (2)). .TP .B CAP_SYS_PACCT Permite llamadas a .BR acct (2). .TP .B CAP_SYS_PTRACE Permite el seguimiento detallado de procesos arbitrarios usando .BR ptrace (2) .TP .B CAP_SYS_RAWIO Permite operaciones sobre puertos de E/S .RB ( iopl (2) y .BR ioperm (2)). .TP .B CAP_SYS_RESOURCE Permite el uso de espacio reservado en sistemas de ficheros ext2; llamadas .BR ioctl (2) para controlar el registro en ext3; sobrescribir los límites de las cuotas de disco; incrementar los límites de recursos (vea .BR setrlimit (2)); sobrescribir el límite del recurso .B RLIMIT_NPROC; incrementar el límite .I msg_qbytes para una cola de mensajes por encima del limite en .IR /proc/sys/kernel/msgmnb (vea .BR msgop (2) y .BR msgctl (2). .TP .B CAP_SYS_TIME Permite la modificación del reloj del sistema .RB ( settimeofday (2), .BR adjtimex (2)); permite la modificación del reloj de tiempo real (hardware) .TP .B CAP_SYS_TTY_CONFIG Permite llamadas a .BR vhangup (2). .SS Capacidades de procesos Cada proceso tiene tres conjuntos de capacidades conteniendo cero o más de las capacidades citadas arriba: .TP .IR Efectivas : las capacidades usadas por el núcleo para llevar a cabo comprobaciones de permisos para el proceso. .TP .IR Permitidas : la capacidades que el proceso puede asumir (esto es, un superconjunto limitante para los conjuntos de efectivas y heredadas). Si un proceso elimina una capacidad de su conjunto de permitidas, no puede volver nunca a adquirir esa capacidad (a menos que ejecute un programa set-UID-root). .TP .IR Heredadas : las capacidades que se conservan tras llamadas a .BR execve (2). .PP En la implementación actual, a un proceso se le conceden todas las capacidades permitidas y efectivas (sujetas a la operación del conjunto limitador de capacidades descrita más abajo) cuando ejecuta un programa set-UID-root o si un proceso con ID de usuario real cero ejecuta un nuevo programa. .PP Un hijo creado con .BR fork (2) hereda copias de los conjuntos de capacidades del padre. .PP Usando .BR capset (2), un proceso puede manipular su propio conjunto de capacidades o, si tiene la capacidad .BR CAP_SETPCAP , los de otros procesos. .SS Conjunto limitador de capacidades Cuando un programa se ejecuta mediante \fIexec\fR, a las capacidades permitidas y efectivas se les aplica un AND con el valor actual del así llamado .IR "conjunto limitador de capacidades" , definido en el fichero .IR /proc/sys/kernel/cap-bound . Este parámetro se puede usar para limitar de forma global las capacidades otorgadas a todos los procesos ejecutados posteriormente. En un sistema estándar, el conjunto limitador de capacidades siempre desactiva la capacidad .BR CAP_SETPCAP . Para eliminar esta restricción, modifique la definición de .B CAP_INIT_EFF_SET en .I include/linux/capability.h y reconstruya el núcleo. .SS Implementación actual y futura Una implementación completa de capacidades requiere: .IP 1. 4 que para todas las operaciones privilegiadas, el núcleo compruebe si el proceso tiene la capacidad requerida en su conjunto efectivo. .IP 2. 4 que el núcleo proporcione llamadas al sistema permitiendo modificar y recuperar los conjuntos de capacidades de un proceso. .IP 3. 4 el soporte del sistema de ficheros para asociar capacidades a un fichero ejecutable, para que un proceso obtenga esas capacidades cuando el fichero sea ejecutado mediante \fIexec\fR. .PP Hasta la versión 2.4.18 de Linux, sólo se cumplen los dos primeros requisitos. Finalmente, debería ser posible asociar tres conjuntos de capacidades a un fichero ejecutable, que en conjunción con los conjuntos de capacidades del proceso, determinen las capacidades de un proceso después de un .IR exec : .TP .IR Permitidas : a este conjunto se le aplica la operación AND con el conjunto heredado del proceso para determinar qué capacidades heredadas le son permitidas al proceso después del exec. .TP .IR Forzadas : las capacidades permitidas automáticamente al proceso, sin importar las capacidades heredadas del proceso. .TP .IR Efectivas : aquellas capacidades en el nuevo conjunto permitido del proceso son también activadas en el nuevo conjunto efectivo. (F(efectivas) normalmente debería ser o todo ceros o todo unos. Ver más abajo.) .PP Mientras tanto, puesto que la implementación actual no soporta conjuntos de capacidades sobre ficheros, durante un exec: .IP 1. 4 Se asume que inicialmente los tres conjuntos de capacidades del fichero están vacíos. .IP 2. 4 Si se está ejecutando un programa set-UID-root o si el ID de usuario real del proceso es 0 (root), entonces se considera que los conjuntos de las capacidades permitidas y forzadas del fichero están llenos de unos (es decir, todas las capacidades están activas). .IP 3. 4 Si se está ejecutando un programa set-UID-root program, entonces se considera que el conjunto de capacidades efectivas del fichero está lleno de unos. .PP Durante un exec, el núcleo calcula las nuevas capacidades del proceso usando el siguiente algoritmo: .in +4 .nf P'(permitidas) = (P(heredadas) & F(permitidas)) | (F(forzadas) & cap_bset) P'(efectivas) = P'(permitidas) & F(efectivas) P'(heredadas) = P(heredadas) [i.e., no se modifica] .fi .in -4 donde: .IP P 10 denota el valor del conjunto de capacidades de un proceso antes del exec .IP P' 10 denota el valor del conjunto de capacidades de un proceso después del exec .IP F 10 denota un conjunto de capacidades de fichero .IP cap_bset 10 es el valor del conjunto limitador de capacidades. .SH OBSERVACIONES El paquete .I libcap ofrece un conjunto de rutinas para establecer y obtener las capacidades de un proceso que resultan más cómodas y con menos probabilidad de cambiar que la interfaz provista por .BR capset (2) y .BR capget (2). .SH "CONFORME A" Ningún estándar determina las capacidades, aunque la implementación de capacidades de Linux se basa en el retraído borrador del estándar POSIX 1003.1e. .SH FALLOS No hay hasta ahora soporte del sistema de ficheros para permitir asociar capacidades a ficheros ejecutables. .SH "VÉASE TAMBIÉN" .BR capget (2), .BR prctl (2)