在linux中使用setcap

Question

要将cap_net_raw功能添加到(例如/bin/ping)中，我们使用以下方法：

#setcap cap_net_raw=ep /bin/ping

ep的含义是什么，为什么这里需要它？

Answer 1

这将在“有效”(e)和“允许”(p)功能集中设置CAP_NET_RAW位。这两个集合连同“可继承”集一起控制进程所具有或可以设置的功能。

在这里见更多：

功能- Linux手册页

能力集 每个线程有三个功能集，包含以上功能的零或多个： Effective -内核用于对线程执行权限检查的功能。 Permitted -线程可能承担的功能(即对有效和可继承集的限制超集)。如果一个线程从其允许的集合中删除一个功能，它就永远无法重新获得该功能(除非它是一个set用户ID根程序)。 inheritable --通过execve(2)保存的功能。通过叉(2)创建的子级继承其父级功能集的副本。有关exec()期间功能处理的讨论，请参见下文。使用capset(2)，线程可以操作自己的功能集，或者，如果它具有CAP_SETPCAP功能，则操作另一个进程中的线程的能力集。