6.2 Capabilities 管理

文档摘要

6.2 Capabilities 管理 6.2 Capabilities 管理在计算机安全架构的演进长河中，权限控制模型始终扮演着守门人的角色。传统的 Unix 权限体系将世界简化为二进制对立——root 与非 root 的鸿沟看似分明，实则粗糙。当容器技术将进程隔离推向新的维度，这种粗糙性便成为了安全阿喀琉斯之踵。试想，一个仅需绑定 80 端口的 Web 服务，为何需要拥有加载内核模块或修改系统时间的权力？这种"全有或全无"的特权分配，恰似将 master key 交给每一位临时访客，既不合情理，更暗藏隐患。 Linux Capabilities 机制的诞生，正是为了打破这种僵化的二元对立。