boredaf Asked: 2021-11-26 07:27:11 +0800 CST2021-11-26 07:27:11 +0800 CST 2021-11-26 07:27:11 +0800 CST 非 root 进程不能执行哪些操作? 772 显然,它不能读取它没有权限的文件。但我说的是其他“动作”,我知道它们绑定到编号低于 1024 的端口。还有什么? linux capabilities 1 个回答 Voted Best Answer Stephen Kitt 2021-11-26T07:37:09+08:002021-11-26T07:37:09+08:00 非特权进程不能做很多事情;在 Linux 上,man 7 capabilities包含一个完整的列表。 您的两个之外的示例包括: 控制审计; 设置 BPF; 将文件所有权更改为任意值; 打开原始套接字; 更改为任意用户和组; 设置任意命名空间; 加载或卸载内核模块; 重新启动。 请注意,在 Linux 上,所有这些不仅由 控制root,还由功能控制,因此这些特权的子集可以授予非root进程。还有其他机制可以请求特权进程代表非特权用户执行特权操作(例如重新启动)。
非特权进程不能做很多事情;在 Linux 上,
man 7 capabilities
包含一个完整的列表。您的两个之外的示例包括:
请注意,在 Linux 上,所有这些不仅由 控制
root
,还由功能控制,因此这些特权的子集可以授予非root
进程。还有其他机制可以请求特权进程代表非特权用户执行特权操作(例如重新启动)。