Читаем Linux-сервер своими руками полностью

Linux-сервер своими руками

Способность	Описание
CAP_CHOWN	Разрешает (или запрещает, если способность выключена) программам изменять группу и владельца файла. Далее подразумевается, что рассматриваемая способность включена и если ее отключить, то данное действие будет недоступно программам
CAP_DAC_OVERRIDE	Программы, запускаемые пользователем root, не будут принимать во внимание права доступа к файлам. Например, если режим доступа к файлу пользователя равен 0600, то даже root не сможет открыть его (получить доступ к файлу)
CAP_DAC_READ_SEARCH	То же самое, но для каталогов (режимы доступа: чтение и поиск)
CAP_FOWNER	Запрещает операции с файлами, если идентификатор владельца файла не совпадает с идентификатором пользователя, который выполняет операцию
CAP_FSETID	Разрешает установку битов SUID и SGID для файлов, не принадлежащих пользователю root
CAP_KILL	Разрешает процессам пользователя root завершать («убивать») процессы других пользователей
CAP_SETGID	Разрешает программам изменять группу, под которой они работают. Программа должна быть запущена пользователем root. Эту возможность используют программы: httpd, sendmail, safe_mysql, safe_finger, postfix, ftpd
CAP_SETUID	Разрешает программам изменять пользователя, под которым они работают. Программа должна быть запущена пользователем root
CAP_SETPCAP	Включает способность программ редактировать способности
CAP_LINUX_IMMUTABLE	Отключите данную способность. Эта способность относится к таким атрибутам файлов, как S_IMMUTABLE (команда chattr –i) и S_APPEND (chattr –a)
CAP_NET_BIND_SERVICE	Разрешает программам прослушивать порты с номерами, меньшими 1024
CAP_NET_BROADCAST	Разрешает программам отправлять широковещательные пакеты
CAP_NET_ADMIN	Эта способность относится к сетевому администрированию: конфигурирование сетевых интерфейсов, изменение таблиц маршрутизации ядра, правил firewall и т.п.
CAP_NET_RAW	Разрешает программам использовать сокет-соединения (Raw Unix Socket)
CAP_IPC_LOCK	Разрешает процессам пользователя root блокировать сегменты разделяемой памяти
CAP_IPC_OWNER	Разрешает процессам пользователя root вмешиваться в межпроцессорное взаимодействие процессов других пользователей
CAP_SYS_MODULE	Управляет способностью загружать (выгружать) модули ядра. Отключите данную способность
CAP_SYS_RAWIO	Управление доступом к файлам устройств, например, /dev/mem, /dev/hd, /dev/sd. Другими словами, разрешает прямой ввод/вывод
CAP_SYS_CHROOT	Разрешает изменять корневой каталог в процессе работы пользователя. Отключите данную способность
CAP_SYS_PTRACE	Разрешает программа использовать функцию ptrace(). Включите данную способность
CAP_SYS_PACCT	Управляет способностью конфигурировать учет процессов. Отключите данную способность
CAP_SYS_ADMIN	Управляет способностью изменения многих системных параметров: от установления имени компьютера до монтирования дисков. Отключите данную способность, иначе ничего не сможете сделать в системе
CAP_SYS_BOOT	Управляет способностью перезагружать машину
CAP_SYS_NICE	Управляет способностью изменять приоритет процессов других пользователей
CAP_SYS_RESOURCE	Данная способность относится ко всевозможным ограничениям системных ресурсов, например, дисковые квоты, количество консолей. Выключите данную способность
CAP_SYS_TIME	Разрешает изменять системное время
CAP_SYS_TTY_CONFIG	Разрешает изменять настройки консолей
CAP HIDDEN	Разрешает программам становиться невидимыми в списке процессов
CAP_INIT_KILL	Разрешает «убивать» потомков процесса init. К потомкам относятся практически все демоны, запущенные при запуске системы