问题[capabilities](unix)

C代码在这里：

#include <stdio.h>
#include <stdlib.h>

int main () {
   printf("PATH : %s\n", getenv("PATH"));
   printf("HOME : %s\n", getenv("HOME"));
   printf("ROOT : %s\n", getenv("ROOT"));
   printf("TMPDIR : %s\n", getenv("TMPDIR"));
   return(0);
}

做之后：

gcc env.c -o printenv
setcap 'cap_dac_override+eip' printenv
sudo -S su -s $(which bash) steve
export TMDIR=hello
./printenv

我得到了这个输出：

PATH : /sbin:/bin:/usr/sbin:/usr/bin
HOME : /home/steve
ROOT : (null)
TMPDIR : (null)

如果我删除设置为 'printenv' 的 CAP，则输出为：

PATH : /sbin:/bin:/usr/sbin:/usr/bin
HOME : /home/steve
ROOT : (null)
TMPDIR : hello

这怎么可能？

经过一番搜索，我发现了这个：http ://polarhome.com/service/man/?qf=secure_getenv&tf=2&of=RedHat&sf=

它提到这可能是由于设置功能时 getenv 变为 secure_getenv 因此所有 getenv() lib 调用都返回 nil，但是在这种情况下如何PATH打印HOME环境变量？

文档说功能是每个线程的属性。确实在任何

/proc/[PID]/task/[LWP]/status

我们可以找到与此线程相关的功能：

CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
CapBnd: 0000003fffffffff
CapAmb: 0000000000000000

但与此同时，有关能力的类似信息位于

/proc/[PID]/status

所以进程，显然有它自己的能力。这让我感到困惑 - 是进程还是线程的功能属性？当执行一些需要能力的命令时，内核会检查什么集合？

显然，它不能读取它没有权限的文件。但我说的是其他“动作”，我知道它们绑定到编号低于 1024 的端口。还有什么？

root@macine:~# getcap ./some_bin
./some_bin =ep

“ep”是什么意思？这个二进制文件的功能是什么？

我正在尝试启动 BoringTun 以setcap使其无特权运行，但仍具有以下能力fmark：

root@67672793823c:/# setcap cap_net_admin+epi /usr/local/sbin/boringtun --foreground wgnet0
fatal error: Invalid argument
usage: setcap [-q] [-v] (-r|-|<caps>) <filename> [ ... (-r|-|<capsN>) <filenameN> ]

 Note <filename> must be a regular (non-symlink) file.

手册页似乎不是很有帮助，我找不到允许我执行带有任意参数的二进制文件的选项。

如果我删除参数，一切正常，但我需要传递这些参数。

在 Linux 中，具有非 root 用户的进程可以分配一些功能来增加其权限。

拥有 root 用户的进程拥有所有可用的功能，但是这样的进程是否可以删除它的一些功能（手动或在某些情况下自动删除）？

我正在使用systemd单元文件以非 root 用户身份启动网络服务器。

listen tcp :80: bind: permission denied即使我已经跑了，我也得到了

setcap cap_net_bind_service=+ep

在可执行文件上。

在互联网上的一个示例单元文件中，我发现

CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE

在单元文件中使用。所以我尝试了一下，突然应用程序可以绑定端口 80。

那告诉我什么？setcap是旧的/不推荐的/忽略的？仅由systemd还是由 Linux 提供？

我正在尝试使用功能（CAP_SYS_TIME），但是当我运行此命令时：

setcap CAP_SYS_TIME+ep /user/mybinaryprogram

在我的系统上，我收到以下错误：

Failed to set capabilities on file '/bin/date' (Invalid argument)
usage: setcap [-q] [-v] (-r|-|<caps>) <filename> [ ... (-r|-|<capsN>) 
<filenameN> ]
Note <filename> must be a regular (non-symlink) file.

我的系统：Linux t2080rdb 4.1.35-rt41 ppc64 GNU/Linux
我已经使用 Yocto Project SDK 2.0 获得了 linux 映像在 bin 目录中执行“ls -la”时有效，日期显示为符号链接

根据我一直在做的测试，我在尝试执行 setcap 时总是遇到同样的错误。

我解决了这个问题，该命令不起作用，因为内核没有启用“安全标签”