capabilities 标签归档

共 3 篇文章 · 返回首页

【eBPF 内核实现深度拆解】eBPF 安全模型：capabilities、非特权 BPF 与 Spectre 缓解

2026-06-12 | kernel · ebpf | #ebpf #security #capabilities #unprivileged-bpf #spectre #bpf_lsm #hardening #linux-kernel

BPF 程序在内核态执行——安全不只是 verifier 的事。本文讲清 CAP_BPF 与 CAP_SYS_ADMIN 的权限梯度、unprivileged BPF 的历史沿革与现状、Spectre v2 的 bpf_jit_harden 缓解（常数盲化与 retpoline）、Spectre v4 的 speculation_barrier、以及 BPF_LSM 的安全策略可编程性。

【操作系统百科】POSIX capabilities

2026-06-25 | os | #capabilities #cap-set #ambient #setuid #least-privilege

为什么 setuid root 早该被 capabilities 取代？cap sets（permitted/effective/inheritable/bounding/ambient）、file caps、容器内 capabilities——本文讲 Linux 的细粒度权限模型。

【从零造容器】Seccomp-BPF 与 Capabilities：容器安全的两道防线

2026-04-08 | linux · containers · security | #seccomp #bpf #capabilities #security #container #syscall #linux-kernel #cap_sys_admin #docker #defense-in-depth

你的容器能调用 reboot()。是的，现在就能。除非有人拦住它。Capabilities 拆分 root 权限，Seccomp-BPF 过滤系统调用——两道防线，缺一不可。本文用 C 代码拆解这两套机制，看看 Docker 到底替你挡住了什么。