CAP_NET_ADMIN — Выполнять различные сетевые операции (например, задавать параметры привилегированного сокета, включать многоадресную передачу, настраивать сетевые интерфейсы и изменять таблицы маршрутизации)
CAP_NET_BIND_SERVICE — Делать привязку к привилегированным портам сокетов
CAP_NET_BROADCAST — (Не используется.) Транслировать сокеты или принимать многоадресную передачу
CAP_NET_RAW — Задействовать сырые и пакетные сокеты
CAP_SETGID — Произвольным образом менять групповые идентификаторы процесса (setgid(), setegid(), setregid(), setresgid(), setfsgid(), setgroups(), initgroups()); применять фиктивные GID при передаче учетных данных через сокет домена UNIX (SCM_CREDENTIALS)
CAP_SETFCAP — (Начиная с Linux 2.6.24.) Устанавливать возможности файлов
CAP_SETPCAP — Выдавать или забирать у любого процесса (в том числе и текущего) возможности, входящие в разрешенный набор текущего процесса (если возможности файлов не поддерживаются); добавлять любые возможности из ограничивающего набора процесса в наследуемый, удалять возможности из ограничивающего набора, изменять флаги безопасности (если возможности файлов поддерживаются)
CAP_SETUID — Произвольным образом менять пользовательский идентификатор процесса (setuid(), seteuid(), setreuid(), setresuid(), setfsuid()); применять фиктивный UID при передаче учетных данных через сокет домена UNIX (SCM_CREDENTIALS)
CAP_SYS_ADMIN — Превышать ограничение /proc/sys/fs/file-max в системных вызовах, которые открывают файлы (например, open(), shm_open(), pipe(), socket(), accept(), exec(), acct(), epoll_create()); выполнять различные операции системного администрирования, включая quotactl() (управление дисковыми квотами), mount() и umount(), swapon() и swapoff(), pivot_root(), sethostname() и setdomainname(); выполнять разные операции с системным журналом (syslog(2)); переопределять ограничение на ресурсы RLIMIT_NPROC (fork()); вызывать lookup_dcookie(); устанавливать расширенные атрибуты trusted и security; выполнять операции IPC_SET и IPC_RMID с произвольными объектами System V IPC; использовать фиктивный UID при передаче учетных данных через сокет домена UNIX (SCM_CREDENTIALS); вызывать ioprio_set() для задания класса планирования IOPRIO_CLASS_RT; применять операцию TIOCCONS в вызове ioctl(); использовать флаг CLONE_NEWNS в вызовах clone() и unshare(); выполнять операции KEYCTL_CHOWN и KEYCTL_SETPERM в вызове keyctl(); администрировать устройство random(4); выполнять различные операции, связанные с устройствами
CAP_SYS_BOOT — Перезагружать систему с помощью вызова reboot(); вызывать kexec_load()
CAP_SYS_CHROOT — Устанавливать корневой каталог процесса с помощью вызова chroot()
CAP_SYS_MODULE — Загружать и выгружать модули ядра (init_module(), delete_module(), create_module())
CAP_SYS_NICE — Повышать значение nice (nice(), setpriority()); изменять значение nice для произвольных процессов (setpriority()); устанавливать для вызывающего процесса политики планирования реального времени SCHED_RR и SCHED_FIFO; сбрасывать флаг SCHED_RESET_ON_FORK; устанавливать политику планирования и приоритет для произвольных процессов (sched_setscheduler(), sched_setparam()); устанавливать класс планирования ввода/вывода и приоритет для произвольных процессов (ioprio_set()); привязывать произвольные процессы к определенному ЦПУ (sched_setaffinity()); применять вызов migrate_pages() для миграции произвольных процессов и позволять процессам мигрировать на произвольные узлы; применять вызов move_pages() к произвольным процессам; использовать флаг MPOL_MF_MOVE_ALL в сочетании с вызовами mbind() и move_pages()
CAP_SYS_PACCT — Включать или выключать учет процессов с помощью вызова acct()
CAP_SYS_PTRACE — Трассировать произвольные процессы с помощью вызова ptrace(); получать доступ к файлам /proc/PID/environ произвольных процессов; применять к произвольным процессам операцию get_robust_list()
CAP_SYS_RAWIO — Выполнять операции с портами ввода/вывода, используя вызовы iopl() и ioperm(); получать доступ к файлу /proc/kcore; открывать устройства /dev/mem и /dev/kmem
CAP_SYS_RESOURCE — Использовать зарезервированное пространство файловой системы; выполнять вызовы ioctl() для управления журналированием в ext3; переопределять дисковые квоты; увеличивать жесткое ограничение на ресурсы (setrlimit()); переопределять ограничение на ресурсы RLIMIT_NPROC (fork()); делать ограничение msg_qbytes для очереди сообщений System V выше значения, указанного в файле /proc/sys/kernel/msgmnb; обходить различные ограничения для очереди POSIX-сообщений, заданные в файле /proc/sys/fs/mqueue
CAP_SYS_TIME — Изменять системное время (settimeofday(), stime(), adjtime(), adjtimex()); устанавливать аппаратное время
CAP_SYS_TTY_CONFIG — Разрывать соединение с терминалом или псевдотерминалом, используя вызов vhangup()
39.3.3. Назначение разрешенных и действующих возможностей процесса
