capget()/capset() -- 获得/设置进程的权能

beyes

原型：

#undef _POSIX_SOURCE
#include <sys/capability.h>
int capget(cap_user_header_t hdrp, cap_user_data_t datap);
int capset(cap_user_header_t hdrp, const cap_user_data_t datap);

说明：
capget() 用来获得进程的权能；capset() 用来设置进程权能。

相关的数据结构：

#define _LINUX_CAPABILITY_VERSION_1  0x19980330
#define _LINUX_CAPABILITY_U32S_1     1

#define _LINUX_CAPABILITY_VERSION_2  0x20071026
#define _LINUX_CAPABILITY_U32S_2     2

typedef struct __user_cap_header_struct {
     __u32 version;
     int pid;
} *cap_user_header_t;

typedef struct __user_cap_data_struct {
      __u32 effective;
      __u32 permitted;
      __u32 inheritable;
} *cap_user_data_t;

一般的，32 位系统要在程序中使用 _LINUX_CAPABILITY_VERSION_1 这个宏，而 64 位系统使用 _LINUX_CAPABILITY_VERSION_2 宏。
在 __user_cap_header_struct 结构体里：
version 就是上面的两个宏中的一个。
pid 为进程的 PID。

下面是这两个函数的简单用法代码：

#undef _POSIX_SOURCE
#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <linux/capability.h>
#include <errno.h>

int main()
{
     struct __user_cap_header_struct cap_header_data;
     cap_user_header_t cap_header = &cap_header_data;

     struct __user_cap_data_struct cap_data_data;
     cap_user_data_t cap_data = &cap_data_data;

     cap_header->pid = getpid();
     cap_header->version = _LINUX_CAPABILITY_VERSION_1;
     
     if (capget(cap_header, cap_data) < 0) {
         perror("Failed capget");
         exit(1);
     }
     printf("Cap data 0x%x, 0x%x, 0x%x\n", cap_data->effective,
         cap_data->permitted, cap_data->inheritable);
}

注意，在 man 手册里使用 #include <sys/capability.h> 头文件。实际上，现在已经改为 #include <linux/capability.h>。

在普通用户时运行：

$ ./capgset
Cap data 0x0, 0x0, 0x0

换为 root 用户时运行：

#./capgset
Cap data 0xffffffff, 0xffffffff, 0x0