能力(Capabilities)

最新推荐文章于 2024-04-19 02:49:13 发布
转载 最新推荐文章于 2024-04-19 02:49:13 发布 · 1.1k 阅读 · 1
文章标签:

#symbian #平台 #testing #api #user #access

本文介绍了Symbian9平台的安全性机制及其对开发者的影响。为了保护系统的安全,Symbian引入了“能力”概念,即应用程序需要获得特定权限才能访问敏感资源和服务。文章详细解释了三种主要的能力类型:TCB、USER和系统能力,并提供了如何在MMP文件中配置这些能力的方法。
从Symbian 9开始平台安全性的问题被引入,这意味着,硬件 设备只能有限的访问安全的数据和 软件

因此在 s60第三版和UIQ3的设备上,开发者开发的 程序需要一些授权才能够访问平台。这种授权被称之为能力。这些能力被定义为授权 应用,因为某个API被限制使用,除非能力(capability )授予该程序使用这些属性。

这里有3种主要的能力:
1. TCB(底层 处理信任)
2. USER(用户层)
3. 系统能力

TCB : "底层处理信任(Trusted computing Base )"

它由一些底层的系统属性组成,像文件系统中的目录。这些能力(Capabilities)是不授予第三方应用程序的,他们只被授权给平台的制造商。

TCB包括 操作系统的核心,文件服务和存储器 管理单元等等。

USER(用户层)

网络服务:打电话、发短信、访问 远程服务。

本地服务:这个能力包括:通过USB、红外、蓝牙设备发送和接受信息

读取用户数据:授权读取用户信息。系统服务和应用程序 引擎就是这个级别。

写用户数据:授权写用户数据,同读取的服务一致。

区域:授权访问 手机的某个区域。

用户环境:授权访问关于用户和环境的保密信息

系统能力(System Cabability)

These API’s under these capbilities has access to sensitive parts of the machine which due programatical errors may corrupt the phone’s Software and hardware. So these capabilities are granted only after symbian signed which after testing is done.

ALLFiles,SwEvent,WriteDeviceData,PowerMgmt,Drm, etc.

如何赋予能力

可以在MMP文件中,使用CAPABILITY 关键字来赋予能力
 
CODE:
CAPABILITY  ReadUserData   DiskAdmin

或者
 
CODE:
CAPABILITY   ALL -ALLFiles  Drm
//除了ALLFiles和Drm的能力

在项目中,我们可以通过相应的API可以使用相关的能力,例如:DataFileSave() 可以调用WriteDeviceData WriteUserData能力

译文地址: http://www.symbianx.cn/viewthread.php?tid=58&extra=page%3D1
原文地址: http://www.newlc.com/Capabilites.html
 
qemu MigrationCapability
qiongtianliuyun的博客
09-30 786
qemu: ## # @MigrationCapability: # # Migration capabilities enumeration # # @xbzrle: Migration supports xbzrle (Xor Based Zero Run Length Encoding). # This feature allows us to minimize migration traffic for certain work # loads, by sendi...
Linux Capabilities机制
四儿家的小祖宗的博客
03-25 877
Linux 是一种安全的操作系统,它把所有的系统权限都赋予了一个单一的 root 用户,只给普通用户保留有限的权限。为了对 root 权限进行更细粒度的控制,实现按需授权,Linux 引入了另一种机制叫 capabilities
能力(Capability)
第三只眼的专栏
07-01 1239
能力Capabilities)从Symbian 9开始平台安全性的问题被引入,这意味着,硬件设备只能有限的访问安全的数据和软件。因此在S60第三版和UIQ3的设备上,开发者开发的程序需要一些授权才能够访问平台。这种授权被称之为能力。这些能力被定义为授权应用,因为某个API被限制使用,除非能力capability )授予该程序使用这些属性。这里有3种主要的能力:1.
【转】linux中的capabilities机制
weixin_33913377的博客
10-31 360
Description For the purpose of performing permission checks, traditional Unix implementations distinguish two categories of processes: privileged processes (whose effective user ID is 0, referred to ...
Linux内核之capabilities能力
2401_84415014的博客
04-19 935
2020年在匆匆忙忙慌慌乱乱中就这么度过了,我们迎来了新一年,互联网的发展如此之快,技术日新月异,更新迭代成为了这个时代的代名词,坚持下来的技术体系会越来越健壮,JVM作为如今是跳槽大厂必备的技能,如果你还没掌握,更别提之后更新的新技术了。更多JVM面试整理:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!今是跳槽大厂必备的技能,如果你还没掌握,更别提之后更新的新技术了。[外链图片转存中…(img-YxTWqBDj-1713466138339)]
Linux内核之capabilities能力,转疯了
m0_66264673的博客
01-27 775
secure-no-suid-fixup: no (unlocked) secure-keep-caps: no (unlocked) uid=1000(ubuntu) gid=1000(ubuntu) groups=4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare),1000(ubuntu) 2.ping能力测试 ping wwwww.baidu.com > /dev/null& [1] 176
capabilities.json
最新发布
08-21
这种结构非常适合表达层次化和分组化的数据,因此在描述浏览器的能力和功能时尤为合适。 Firefox浏览器的capabilities.json文件主要是为了让开发者能够对浏览器进行详细配置,使得浏览器在执行各种操作时能按照预定...
Linux下的Capabilities安全机制分析.pdf
09-07
Capabilities是一种更细粒度的权限管理方式,它将root用户的全部特权分解为多个独立的能力(capability),每个能力代表一种特定的系统操作。这种方式降低了权限过于集中的风险,使得进程可以仅获得执行特定任务所需的...
Pony语言学习(八):引用能力(Reference Capabilities
qq_33943772的博客
04-03 626
(如果你有更好的翻译,请务必联系我。我们需要和Rust术语做到翻译看齐) 1.总览(特译:https://tutorial.ponylang.io/reference-capabilities.html): 我们已经学了很多有关Pony类型系统的知识,之后是表达式语法,在有关引用能力的这章里,我们会学到另一Pony类型系统组件级别的知识点。目前好像没有一款主流编程语言支持这一特性。那么什么是引...
Linux显示机制,Linux的capabilities机制
weixin_28759725的博客
05-14 389
在传统的Linux的权限控制机制中,SUID(Set User ID on execution)是一个比较有意思的概念。例如,文件/bin/passwd设置了SUID的flag,所以普通用户在运行passwd命令时,便以passwd的所属者,即root用户的身份运行,从而修改密码。但是,这也带来了安全隐患。我们运行SUID的命令时,通常只是需要使用一小部分特权,但是使用SUID,却可以拥有root...
Linux中的SetUid和capability权能机制
zhaominyong的专栏
02-22 1635
Linux中的SetUid和capability权能机制
Unity 配置Xcode工程--添加Capability
真像大白阿的博客
05-29 1820
就是开启不了有些Capability,需要自己手动开启,这其实很繁琐,需要复制粘贴文本等。 刚开始怀疑是不是Unity版本的问题,因为用的是Unity官方自带的API来添加Capability。之前的Unity版本是2017.4.7f1,最近项目升级了Unity版本,现在是2017.4.22f1版本,但测试了,还是开启不了有些Capability。 //project.AddCapability(target, PBXCapabilityType.PushNotifica...
S60 3rd MMP CAPABILITY
09-11 1081
S60 3rd MMP CAPABILITY UIQ3 CapabilitiesSymbian OS9)能力Capabilities)从Symbian 9开始平台安全性的问题被引入,这意味着,硬件设备只能有限的访问安全的数据和软件。因此在S60第三版和UIQ3的设备上,开发者开发的程序需要一些授权才能够
swift 初用地图
EIamor的博客
05-08 852
在IOS中地图应用开发主要使用   MapKit APi  其核心类是   MKMapView 类 最终结果 在使用这个类之前必须在项目中打开地图访问权限 步骤:打开项目  选择 TARGETS   选择Capabilities选项卡  找到Maps   在开关处打开 打开之后就会发现做左侧的项目导航栏中多了一个Frameworks(框架)  其中有有关MapKit的框架 首
Linux 安全 - Capabilities机制
小立仔
09-28 2512
Linux 安全 - Capabilities机制简介
Hololens入门开发(二)unity项目设置及MR开发包导入
qq_69852010的博客
01-22 2046
一.新建一个u3d项目 二.将unity的平台切换为Universal Windows Platform 三.MR开发包导入 开发包链接来自Github,根据需要的版本进行选择 https://github.com/microsoft/MixedRealityToolkit-Unity/releases 将五个unitypackage文件全部导入unity中 四.项目设置 1.选择发布设置,定位到capabilities板块 依次勾选以下组件 2.在
Linux 能力Capabilities)有哪些
03-12
<think>好的,我现在需要解释一下Linux的能力Capabilities)。首先,我得回忆一下自己学过的相关知识,确保准确无误。Linux的能力机制是用来细分传统超级用户的权限,对吧?这样普通进程不需要拥有完全的root权限,也能执行特定的特权操作。这样可以提高系统的安全性,减少潜在的风险。 那具体有哪些能力呢?我记得能力被划分为不同的类别,比如关于文件系统的、进程管理的、网络相关的等等。可能需要列举一些常见的能力并说明它们的作用。例如,CAP_CHOWN允许改变文件的属主,CAP_NET_BIND_SERVICE允许绑定低端口号。 另外,用户可能会关心如何查看和管理能力,比如使用getcap和setcap命令,或者通过编程接口来操作。还有,能力可以分成有效集、许可集、继承集等,这部分可能需要解释清楚,避免混淆。 还要注意不要遗漏一些重要的点,比如能力如何继承,如何通过文件系统属性赋予可执行文件特定的能力。还有,能力的边界情况,比如当进程放弃某些能力后如何影响后续操作。可能还需要提到一些实际应用的例子,帮助用户理解。 需要确认自己记得的所有能力名称和描述是否正确,避免错误。例如,CAP_SYS_ADMIN是一个比较广泛的能力,它提供了大量的系统管理权限,类似于小范围的root。而CAP_KILL允许发送信号给不属于自己的进程,这些都需要准确描述。 还有,可能用户会想知道为什么需要能力机制,可以简单对比一下传统的setuid方法的不足,比如过于粗放的权限授予,容易导致安全漏洞。而能力机制则更细粒度,更安全。 最后,整理结构,分点说明,确保逻辑清晰,由浅入深,帮助用户逐步理解。可能需要先介绍基本概念,再列举主要能力,然后说明管理方法,最后实际应用例子。检查是否有遗漏的重要能力或者错误的信息,确保回答正确可靠。</think>Linux 能力Capabilities)是一种细粒度的权限控制机制,旨在将传统超级用户(root)的权限拆分为独立的能力单元。通过赋予进程或文件特定的能力,可减少滥用完整 root 权限带来的安全风险。以下是关键内容: --- ### **一、能力机制的核心作用** 1. **替代传统 root 权限** 传统 `setuid` 程序需要完整 root 权限,而能力机制允许仅授予必要的特权。 2. **最小权限原则** 限制进程仅拥有完成任务所需的最小能力,降低攻击面。 --- ### **二、常见能力分类与示例** Linux 定义了约 40 种能力(可通过 `man capabilities` 查看完整列表),以下是典型示例: | **能力名称** | **描述** | |----------------------|-------------------------------------------------------------------------| | `CAP_CHOWN` | 允许修改文件所有者/组(如 `chown` 命令) | | `CAP_DAC_OVERRIDE` | 绕过文件读/写/执行的权限检查(如访问其他用户文件) | | `CAP_KILL` | 允许向非属主进程发送信号(如 `kill`) | | `CAP_NET_BIND_SERVICE` | 绑定低于 1024 的端口(如 Web 服务器监听 80 端口) | | `CAP_SYS_ADMIN` | 执行系统管理操作(挂载文件系统、配置磁盘配额等) | | `CAP_SYS_TIME` | 修改系统时间 | | `CAP_NET_RAW` | 使用 RAW/PACKET 套接字(如 `ping` 或网络嗅探工具) | --- ### **三、能力的三种集合** 每个进程的能力状态由以下集合定义: 1. **Effective**:当前实际生效的能力。 2. **Permitted**:进程可启用的能力上限。 3. **Inheritable**:子进程可继承的能力。 --- ### **四、管理能力的方法** #### 1. **命令行工具** - **查看文件能力** ```bash getcap /path/to/file ``` - **设置文件能力** ```bash setcap cap_net_bind_service+ep /path/to/program # 允许程序绑定低端口 ``` #### 2. **编程接口** 使用 `libcap` 库的函数(如 `cap_set_proc()`)动态调整进程能力。 #### 3. **系统调用** 通过 `prctl()` 或 `capset()`/`capget()` 修改能力集合。 --- ### **五、实际应用示例** - **赋予 `ping` 无需 root 的权限** ```bash setcap cap_net_raw+ep /bin/ping # 允许普通用户使用 ping ``` - **限制容器权限** 在 Docker 中通过 `--cap-drop` 和 `--cap-add` 控制容器能力: ```bash docker run --cap-drop=ALL --cap-add=CAP_NET_BIND_SERVICE my_image ``` --- ### **六、注意事项** 1. **谨慎授予高危能力** 如 `CAP_SYS_ADMIN` 和 `CAP_DAC_OVERRIDE` 可能导致系统暴露于风险。 2. **能力继承规则** 子进程的能力由其父进程的 Inheritable 集合和文件属性共同决定。 3. **兼容性检查** 部分旧程序可能依赖完整 root 权限,需测试后再替换为能力授权。 --- 通过合理使用能力机制,可在提升安全性的同时保持功能灵活性。建议结合场景需求,逐步替换传统 root 权限的使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值