Ubuntu Manpage: capget, capset - Setzt/ermittelt die Capabilities von Thread(s)

BEZEICHNUNG

       capget, capset - Setzt/ermittelt die Capabilities von Thread(s)

ÜBERSICHT

       #include <sys/capability.h>

       int capget(cap_user_header_t hdrp, cap_user_data_t datap);

       int capset(cap_user_header_t hdrp, const cap_user_data_t datap);

BESCHREIBUNG

Seit Linux 2.2 ist die Macht des Superusers (Root) in eine Gruppe von diskreten
Capabilities aufgeteilt. Jeder Thread hat eine Gruppe an effektiven Capabilities, die
angeben, welche Capabilities (falls zutreffend) er derzeit ausführen darf. Jeder Thread
hat auch eine Gruppe an vererbbaren Capabilities, die über einen execve(2)-Aufruf
weitergegeben werden können und eine Gruppe an erlaubten Capabilities, die er zu
effektiven oder vererbbaren hinzufügen kann.

Diese zwei Systemaufrufe sind die rohe Kernelschnittstelle zum Ermitteln und Setzen der
Thread-Capabilities. Die Systemaufrufe sind nicht nur Linux-spezifisch, auch die
Kernel-API wird sich wahrscheinlich ändern und die Verwendung dieser Systemaufrufe
(insbesondere das Format der cap_user_*_t-Typen) unterliegt in jeder Kernel-Revision
Erweiterungen, aber alte Programme werden weiterhin funktionieren.

Die portablen Schnittstellen sind cap_set_proc(3) und cap_get_proc(3); falls möglich,
sollten Sie diese Schnittstellen in Anwendungen verwenden. Falls Sie die
Linux-Erweiterungen in Anwendungen verwenden möchten, sollten Sie die leichter zu
verwendenden Schnittstellen capsetp(3) und capgetp(3) verwenden.

Aktuelle Details
Nachdem Sie gewarnt wurden, einige aktuelle Kernel-Datails. Die Strukturen sind wie folgt
definiert:

#define _LINUX_CAPABILITY_VERSION_1 0x19980330
#define _LINUX_CAPABILITY_U32S_1 1

/* V2 hinzugefügt in Linux 2.6.25; veraltet */
#define _LINUX_CAPABILITY_VERSION_2 0x20071026
#define _LINUX_CAPABILITY_U32S_2 2

/* V3 in Linux 2.6.26 hinzugefügt */
#define _LINUX_CAPABILITY_VERSION_3 0x20080522
#define _LINUX_CAPABILITY_U32S_3 2

typedef struct __user_cap_header_struct {
__u32 version;
int pid;
} *cap_user_header_t;

typedef struct __user_cap_data_struct {
__u32 effective;
__u32 permitted;
__u32 inheritable;
} *cap_user_data_t;

Die Felder effective, permitted und inheritable sind Bitmasken der in capabilities(7)
definierten Capabilities. Beachten Sie, dass CAP_*-Werte Bitindizes sind und bitweise
verschoben werden müssen, bevor per ODER auf die Bitfelder zugegriffen wird. Um die
Strukturen zu definieren, die an den Systemaufruf übergeben werden sollen, müssen Sie die
Namen struct __user_cap_header_struct und struct __user_cap_data_struct verwenden, da die
Typedefs nur Zeiger sind.

Kernel vor 2.6.25 bevorzugen 32-bit-Capabilities mit Version _LINUX_CAPABILITY_VERSION_1.
In Linux 2.6.25 wurden 64-bit-Capability-Sets hinzugefügt, mit Version
_LINUX_CAPABILITY_VERSION_2. Allerdings gab es einen API-Glitch, und Linux 2.6.26 fügte
_LINUX_CAPABILITY_VERSION_3 hinzu, um das Problem zu beheben.

Beachten Sie, dass 64-Bit-Capabilities datap[0] und datap[1] verwenden, während
32-Bit-Capabilities nur datap[0] verwenden.

In Kerneln, die Datei-Capabilities unterstützen (VFS-Capability-Unterstützung), verhalten
sich diese Systemaufrufe etwas anders. Diese Unterstützung wurde in Linux 2.6.24
hinzugefügt und wurde später in Linux 2.6.33 gefixt (nicht-optional).

Für capget()-Aufrufe können die Capabilities eines Prozesses über die Angabe der
Prozess-ID mit dem Feldwert hdrp->pid ermittelt werden.

Mit VFS-Capability-Unterstützung
VFS-Capability-Unterstützung erstellt eine auf Dateiattributen basierende Methode zum
Hinzufügen von Capabilities für privilegierte ausführbare Dateien. Dieses
Privilegienmodell ersetzt die Kernel-Unterstützung dafür, dass ein Prozess asynchron die
Capabilities eines anderen setzt. Das heißt, mit VFS-Unterstützung sind für Aufrufe von
capset() die einzig zulässigen, gleichwertigen Werte für hdrp->pid 0 oder gettid(2).

Ohne VFS-Capability-Unterstützung
Wenn der Kernel VFS-Capabilities nicht unterstützt, können Aufrufe von capset() auf die
Capabilities des durch das pid-Feld von hdrp beschriebenen Threads zugreifen, wenn das
Feld von Null verschieden ist; wenn pid gleich 0 ist, wird auf die Capabilities des
aufrufenden Threads zugegriffen. Falls sich pid auf einen single-threaded Prozess bezieht,
kann pid auch als herkömmliche Prozess-ID angegeben werden. Der Zugriff auf einen Thread
eines Multithread-Prozesses erfordert eine Thread-ID vom Typ, den gettid(2) zurückgibt.
Für capset() kann pid auch -1 sein, d.h. die Änderung wird für alle Threads außer dem
Aufrufenden und init(1) durchgeführt; ein Wert kleiner als -1 bewirkt die Änderung für
alle Mitglieder der Prozessgruppe, deren ID -pid ist.

Für Details der Daten siehe capabilities(7).

RÜCKGABEWERT

       Bei Erfolg wird Null zurückgegeben. Bei einem  Fehler  wird  -1  zurückgegeben  und  errno
       entsprechend gesetzt.

       Die  Aufrufe  werden  mit dem Fehler EINVAL fehlschlagen und das Feld version von hdrp auf
       den vom Kernel bevorzugten Wert von _LINUX_CAPABILITY_VERSION_?  setzen,  wenn  ein  nicht
       unterstützter version-Wert angegeben wird. Auf diese Weise kann herausgefunden werden, wie
       die derzeit bevorzugte Capability-Revision lautet.

FEHLER

       EFAULT Ungültige Speicheradresse. hdrp darf nicht NULL sein. datap  darf  NULL  nur  sein,
              wenn    der   Benutzer   versucht,   das   vom   Kernel   unterstützte   bevorzugte
              Capability-Versionsformat zu ermitteln.

       EINVAL Eines der Argumente war ungültig.

       EPERM  Es wurde versucht, eine Capability zu der erlaubten Menge  hinzuzufügen  oder  eine
              Capability  in  der  effektiven  oder vererbbaren Menge zu setzen, die nicht in der
              erlaubten Menge enthalten ist.

       EPERM  Der Aufrufende versuchte, capset() zu verwenden, um die Capabilities eines von  ihm
              selbst  verschiedenen  Threads  zu  verändern, hatte dazu aber nicht die benötigten
              Privilegien. Für Kernel, die VFS-Capabilities unterstützen, ist dies  nie  erlaubt.
              Für  Kernel  ohne  VFS-Unterstützung wird die Capability CAP_SETPCAP benötigt. (Ein
              Fehler in Kerneln vor 2.6.11 führte dazu, dass dieser Fehler auch auftreten konnte,
              falls  ein  Thread  ohne  diese Capability versuchte, seine eigenen Capabilities zu
              ändern, indem er das Feld pid auf einen von numerisch Null verschiedenen Wert (d.h.
              den von getpid(2) zurückgelieferten Wert) anstatt 0 wählte.)

       ESRCH  Kein solcher Thread.

KONFORM ZU

       Diese Systemaufrufe sind Linux-spezifisch.

ANMERKUNGEN

       Die  portable  Schnittstelle  der  Capability-Abfrage-  und -Setzfunktionen wird durch die
       Bibliothek libcap bereitgestellt, die unter folgender Adresse erhältlich ist:
       ⟨http://git.kernel.org/cgit/linux/kernel/git/morgan/libcap.git⟩

SIEHE AUCH

       clone(2), gettid(2), capabilities(7)

KOLOPHON

       Diese Seite  ist  Teil  der  Veröffentlichung  4.04  des  Projekts  Linux-man-pages.  Eine
       Beschreibung  des  Projekts,  Informationen,  wie  Fehler gemeldet werden können sowie die
       aktuelle Version dieser Seite finden sich unter http://www.kernel.org/doc/man-pages/.

ÜBERSETZUNG

       Die  deutsche  Übersetzung  dieser  Handbuchseite   wurde   von   Dr.   Tobias   Quathamer
       <toddy@debian.org>,  Helge  Kreutzmann  <debian@helgefjell.de>,  Martin  Eberhard  Schauer
       <Martin.E.Schauer@gmx.de> und Mario Blättermann <mario.blaettermann@gmail.com> erstellt.

       Diese Übersetzung ist Freie Dokumentation;  lesen  Sie  die  GNU  General  Public  License
       Version   3  oder  neuer  bezüglich  der  Copyright-Bedingungen.  Es  wird  KEINE  HAFTUNG
       übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
       Mail an <debian-l10n-german@lists.debian.org>.