[进程]capget()/capset() -- 获得/设置进程的权能

原型：

引用

#undef _POSIX_SOURCE
#include <sys/capability.h>
int capget(cap_user_header_t hdrp, cap_user_data_t datap);
int capset(cap_user_header_t hdrp, const cap_user_data_t datap);

说明：
capget() 用来获得进程的权能；capset() 用来设置进程权能。

相关的数据结构：

引用

#define _LINUX_CAPABILITY_VERSION_10x19980330
#define _LINUX_CAPABILITY_U32S_1 1

#define _LINUX_CAPABILITY_VERSION_20x20071026
#define _LINUX_CAPABILITY_U32S_2 2

typedef struct __user_cap_header_struct {
__u32 version;
int pid;
} *cap_user_header_t;

typedef struct __user_cap_data_struct {
__u32 effective;
__u32 permitted;
__u32 inheritable;
} *cap_user_data_t;

一般的，32 位系统要在程序中使用 _LINUX_CAPABILITY_VERSION_1 这个宏，而 64 位系统使用 _LINUX_CAPABILITY_VERSION_2 宏。
在 __user_cap_header_struct 结构体里：
version 就是上面的两个宏中的一个。
pid 为进程的 PID。

下面是这两个函数的简单用法代码：

引用

#undef _POSIX_SOURCE
#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <linux/capability.h>
#include <errno.h>

int main()
{
struct __user_cap_header_struct cap_header_data;
cap_user_header_t cap_header = &cap_header_data;

struct __user_cap_data_struct cap_data_data;
cap_user_data_t cap_data = &cap_data_data;

cap_header->pid = getpid();
cap_header->version = _LINUX_CAPABILITY_VERSION_1;

if (capget(cap_header, cap_data) < 0) {
perror("Failed capget");
exit(1);
}
printf("Cap data 0x%x, 0x%x, 0x%x/n", cap_data->effective,
cap_data->permitted, cap_data->inheritable);
}

注意，在 man 手册里使用 #include <sys/capability.h> 头文件。实际上，现在已经改为 #include <linux/capability.h>。

在普通用户时运行：

引用

$ ./capgset
Cap data 0x0, 0x0, 0x0

换为 root 用户时运行：

引用

#./capgset
Cap data 0xffffffff, 0xffffffff, 0x0