プロセスが機能するために必要なLinux機能を見つける方法は？

私がこの中で少し前に出くわした別の方法 Brendan Greggによるブログ投稿 は機能トレーサーを使用することです-capable。

以下は出力例です。

$ Sudo /usr/share/bcc/tools/capable
TIME      UID    PID    COMM             CAP  NAME                 AUDIT
11:31:54  0      2467   capable          21   CAP_SYS_ADMIN        1
11:31:54  0      2467   capable          21   CAP_SYS_ADMIN        1
11:31:59  1000   2468   ls               1    CAP_DAC_OVERRIDE     1
11:31:59  1000   2468   ls               2    CAP_DAC_READ_SEARCH  1
11:32:02  0      1421   timesync         25   CAP_SYS_TIME         1
11:32:05  1000   2469   Sudo             7    CAP_SETUID           1
11:32:05  0      2469   Sudo             6    CAP_SETGID           1

これには、特定のプロセスに対してカーネルによって行われた機能チェックを記録するという大きな利点があります。これにより、実際に必要な機能に対してアプリケーションのプロファイルを作成できます。特権を絞り込み、非特権ユーザーとして実行します。

pscapを使用すると、実行中のすべてのプロセスの有効機能を一覧表示できますが、信頼できる方法は提供されません。プロセスに実際に必要な機能を確認する理由は次のとおりです。

• プロセスは、許可されたセットに機能Xを持ち、特権操作を実行するために、それを有効なセットに短時間だけ上げることができます。
• プロセスは、より広範な機能のセットで開始し、昇格された特権を必要とする初期化を実行し、一部（またはすべて）の機能を削除する可能性があります（例： rawソケットを開くping ）。
• これは、機能ベースの方法ですでに実行されているプロセスに対してのみ機能します。新しく開発したアプリケーションに必要な最小限の機能セットを決定する必要がある場合はどうなりますか？
• アプリケーションに対して行われた特権チェックを、アプリケーションが実行する操作と関連付けることはできません。capableを使用すると、単一のチェックのタイムスタンプを取得できます。

capableのソースは、 github で入手できます。 BCCのインストール手順（capableを含む）が利用可能です ここ 。詳細については、冒頭で述べたブログ投稿を参照してください。また、capableにはカーネル4.4以降が必要であり、古いカーネルの代替手段もブログ投稿で入手できます。

注：私は作成者ではありません。また、ツール開発者とは一切関係がありません。以前は完全なroot権限を実行する必要があった複雑な監視アプリケーションの機能プロファイルを開発するために個人的に使用し、このトレーサーが非常に役立つことがわかったため、より多くのユーザーに提供したいと思いました。