概要
ケーパビリティ(capability)は、従来rootだけが一括で持っていた特権を、機能ごとに細かく分割して扱う仕組みです。
やさしい説明
ケーパビリティは、管理者権限を細かい部品に分けて必要なものだけ渡すための仕組みです。
詳細解説
ケーパビリティ(capability)は、すべての特権を一つにまとめたrootモデルを補い、ネットワーク設定、ポート使用、システム管理などの特権を個別に分けて扱えるようにします。これにより、必要最小限の権限だけをプログラムへ付与しやすくなります。一方で、従来の所有者やパーミッションだけでは見えないため、実効権限の把握が難しくなることもあります。したがってケーパビリティは、rootかそうでないかという二分法を細かく分解する仕組みとして理解すると整理しやすくなります。
この用語が重要な理由
ケーパビリティを理解すると、必要最小限の特権設計や、見えにくい権限付与の確認に役立ちます。
この用語を知らないと困る場面
低いポート利用、ネットワーク操作、root権限の縮小設計で重要です。
一番よくある誤解
ケーパビリティはroot権限の別表記ではありません。root特権を機能ごとに分割して扱う仕組みです。
理解チェック
要点を言い換えたり、関連例を思い出せたらチェックを入れてください。
-
ケーパビリティが何を表し、どこで使われるかを説明できれば理解は十分です。
用例
- サービスへ必要最小限のケーパビリティだけを与え、全面的なroot権限を避ける。
現場で見る場所
-
特権分割、最小権限、サービス権限設計
ケーパビリティを使うとrootは不要になりますか?用語の正体と周辺の仕組みを意識しながら読むと、設定や出力の意味を取り違えにくくなります。
混同しやすい用語
-
setuid ケーパビリティはsetuidと近い場面で登場しますが、同じ意味ではありません。ケーパビリティは特権を細かな単位に分割してプロセスへ与える仕組みです。一方、setuidは実行時にファイル所有者の権限で動かす特別な属性です。
FAQ
-
Q. 常に不要になるわけではありませんが、必要な機能だけを分離して付与しやすくなります。 A. ケーパビリティが何を細分化するか説明できるか
関連コマンド
資格試験との関連
-
LPIC-1 102 範囲: 利用者、権限、認証基盤の理解ケーパビリティは利用者、権限、認証基盤の理解に関わる語で、試験範囲の文章、設定、障害時の説明を読み解く土台になります。
-
LinuC レベル1 102 範囲: 利用者、権限、認証基盤の理解ケーパビリティは利用者、権限、認証基盤の理解に関わる語で、試験範囲の文章、設定、障害時の説明を読み解く土台になります。
参照リンク
- カテゴリー: Permissions Users
- レベル: Basic
- 対応試験: LinuC レベル1 102, LPIC-1 102