.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
-.TH CAPABILITIES 7 2013\-03\-11 Linux "Linux Programmer's Manual"
+.\"
+.\" Japanese Version Copyright (c) 2005 Akihiro MOTOKI all rights reserved.
+.\" Translated 2005-03-09, Akihiro MOTOKI <amotoki@dd.iij4u.or.jp>
+.\" Updated 2005-11-04, Akihiro MOTOKI
+.\" Updated 2006-04-16, Akihiro MOTOKI, LDP v2.29
+.\" Updated 2006-07-20, Akihiro MOTOKI, LDP v2.34
+.\" Updated 2007-01-05, Akihiro MOTOKI, LDP v2.43
+.\" Updated 2008-12-24, Akihiro MOTOKI, LDP v3.15
+.\" Updated 2009-02-27, Akihiro MOTOKI, LDP v3.19
+.\" Updated 2010-04-11, Akihiro MOTOKI, LDP v3.24
+.\" Updated 2012-05-31, Akihiro MOTOKI <amotoki@gmail.com>
+.\" Updated 2013-05-06, Akihiro MOTOKI <amotoki@gmail.com>
+.\" Updated 2013-08-16, Akihiro MOTOKI <amotoki@gmail.com>
+.\"
+.TH CAPABILITIES 7 2014\-04\-09 Linux "Linux Programmer's Manual"
.SH 名前
capabilities \- Linux のケーパビリティ (capability) の概要
.SH 説明
カーネル監査のログにレコードを書き込む。
.TP
\fBCAP_BLOCK_SUSPEND\fP (Linux 3.5 以降)
-Employ features that can block system suspend (\fBepoll\fP(7) \fBEPOLLWAKEUP\fP,
-\fI/proc/sys/wake_lock\fP).
+システムのサスペンドをブロックできる機能を使用する (\fBepoll\fP(7) \fBEPOLLWAKEUP\fP,
+\fI/proc/sys/wake_lock\fP)。
.TP
\fBCAP_CHOWN\fP
ファイルの UID とGID を任意に変更する (\fBchown\fP(2) 参照)。
(任意のアクセス制御)" の略である)。
.TP
\fBCAP_DAC_READ_SEARCH\fP
+.PD 0
+.RS
+.IP * 2
ファイルの読み出し権限のチェックとディレクトリの読み出しと実行 の権限チェックをバイパスする。
+.IP *
+\fBopen_by_handle_at\fP(2) を起動する。
+.RE
+.PD
+
.TP
\fBCAP_FOWNER\fP
.PD 0
\fBacct\fP(2) を呼び出す。
.TP
\fBCAP_SYS_PTRACE\fP
-Trace arbitrary processes using \fBptrace\fP(2); apply \fBget_robust_list\fP(2)
-to arbitrary processes; inspect processes using \fBkcmp\fP(2).
+\fBptrace\fP(2) を使って任意のプロセスをトレースする。 任意のプロセスに \fBget_robust_list\fP(2) を適用する。
+\fBkcmp\fP(2) を使ってプロセス内部を調査する。
.TP
\fBCAP_SYS_RAWIO\fP
.PD 0
.IP * 2
I/O ポート操作を実行する (\fBiopl\fP(2)、 \fBioperm\fP(2))。
.IP *
-access \fI/proc/kcore\fP;
+\fI/proc/kcore\fP にアクセスする。
.IP *
\fBFIBMAP\fP \fBioctl\fP(2) 操作を使用する。
.IP *
-open devices for accessing x86 model\-specific registers (MSRs, see
-\fBmsr\fP(4))
+x86 モデルに固有のレジスタ (MSR レジスタ群、 \fBmsr\fP(4) 参照) にアクセスするためのデバイスをオープンする。
.IP *
-update \fI/proc/sys/vm/mmap_min_addr\fP;
+\fI/proc/sys/vm/mmap_min_addr\fP を更新する。
.IP *
-create memory mappings at addresses below the value specified by
-\fI/proc/sys/vm/mmap_min_addr\fP;
+\fI/proc/sys/vm/mmap_min_addr\fP で指定された値よりも小さなアドレスにメモリマッピングを作成する。
.IP *
-map files in \fI/proc/pci/bus\fP;
+\fI/proc/bus/pci\fP にあるファイルをマップする。
.IP *
-open \fI/dev/mem\fP and \fI/dev/kmem\fP;
+\fI/dev/mem\fP や \fI/dev/kmem\fP をオープンする。
.IP *
-perform various SCSI device commands;
+各種の SCSI デバイスコマンドを実行する。
.IP *
-perform certain operations on \fBhpsa\fP(4) and \fBcciss\fP(4) devices;
+\fBhpsa\fP(4) デバイスや \fBcciss\fP(4) デバイスの特定の操作を実行する。
.IP *
-perform a range of device\-specific operations on other devices.
+他のデバイスに対して各種のデバイス固有命令を実行する。
.RE
.PD
.TP
上限 \fI/proc/sys/fs/mqueue/queues_max\fP を上書きする
(\fBmq_overview\fP(7) 参照)。
.IP *
-employ \fBprctl\fP(2) \fBPR_SET_MM\fP operation; set \fI/proc/PID/oom_score_adj\fP
-to a value lower than the value last set by a process with
-\fBCAP_SYS_RESOURCE\fP.
+\fBprctl\fP(2) \fBPR_SET_MM\fP 操作を使用する。
+.IP *
+\fBCAP_SYS_RESOURCE\fP を持ったプロセスによって最後に設定された値よりも小さな値を \fI/proc/PID/oom_score_adj\fP
+に設定する。
.RE
.PD
.TP
特権が必要な \fBsyslog\fP(2) 操作を実行できる。
どの操作が特権が必要かについての情報は \fBsyslog\fP(2) を参照。
.IP *
-View kernel addresses exposed via \fI/proc\fP and other interfaces when
-\fI/proc/sys/kernel/kptr_restrict\fP has the value 1. (See the discussion of
-the \fIkptr_restrict\fP in \fBproc\fP(5).)
+\fI/proc/sys/kernel/kptr_restrict\fP の値が 1 の場合、 \fI/proc\fP
+や他のインターフェース経由で公開されているカーネルアドレスを参照する (\fBproc\fP(5) の \fIkptr_restrict\fP の議論を参照)。
.TP
\fBCAP_WAKE_ALARM\fP (Linux 3.0 以降)
.\"
\fBfork\fP(2) で作成される子プロセスは、親のケーパビリティセットのコピーを継承する。 \fBexecve\fP(2)
中のケーパビリティの扱いについては下記を参照のこと。
.PP
-.\"
\fBcapset\fP(2) を使うと、プロセスは自分自身のケーパビリティセット を操作することができる (下記参照)。
+.PP
+.\" commit 73efc0394e148d0e15583e13712637831f926720
+.\"
+Linux 3.2 以降では、 ファイル \fI/proc/sys/kernel/cap_last_cap\fP で、
+実行中のカーネルでサポートされているケーパビリティの最大値を参照できる。 この情報を使って、
+ケーパビリティセットに設定される可能性がある最上位ビットを判定することができる。
.SS ファイルケーパビリティ
カーネル 2.6.24 以降では、 \fBsetcap\fP(8) を使って実行ファイルにケーパビリティセットを対応付けることができる。
ファイルケーパビリティセットは \fIsecurity.capability\fP という名前の拡張属性に保存される (\fBsetxattr\fP(2)
ファイルシステム UID が 0 から 0 以外に変更された場合 (\fBsetfsuid\fP(2)
参照)、実効ケーパビリティセットの以下のケーパビリティがクリアされる: \fBCAP_CHOWN\fP, \fBCAP_DAC_OVERRIDE\fP,
\fBCAP_DAC_READ_SEARCH\fP, \fBCAP_FOWNER\fP, \fBCAP_FSETID\fP, \fBCAP_LINUX_IMMUTABLE\fP
-(Linux 2.2.30 以降), \fBCAP_MAC_OVERRIDE\fP, \fBCAP_MKNOD\fP (Linux 2.2.30 以降)。
+(Linux 2.6.30 以降), \fBCAP_MAC_OVERRIDE\fP, \fBCAP_MKNOD\fP (Linux 2.6.30 以降)。
ファイルシステム UID が 0 以外から 0 に変更された場合、 上記のケーパビリティのうち許可ケーパビリティセットで有効になっているものが
実効ケーパビリティセットで有効にされる。
.PP
呼び出し側が \fBCAP_SETPCAP\fP ケーパビリティを持っていない場合、新しい継承可能セットは、 既存の継承可能セットと許可セットの積集合
(AND) の部分集合で なければならない。
.IP 2.
-(カーネル 2.6.25 以降) 新しい継承可能セットは、既存の継承可能セットとケーパビリティ・ バウンディングセットの積集合 (AND)
+(Linux 2.6.25 以降) 新しい継承可能セットは、既存の継承可能セットとケーパビリティ・ バウンディングセットの積集合 (AND)
の部分集合でなければならない。
.IP 3.
新しい許可セットは、既存の許可セットの部分集合でなければならない (つまり、そのスレッドが現在持っていない許可ケーパビリティを
CONFIG_SECURITY_CAPABILITIES により有効/無効を切り替えることができる。
.\" 7b9a7ec565505699f503b4fcf61500dceb36e744
-The \fI/proc/PID/task/TID/status\fP file can be used to view the capability
-sets of a thread. The \fI/proc/PID/status\fP file shows the capability sets of
-a process's main thread. Before Linux 3.8, nonexistent capabilities were
-shown as being enabled (1) in these sets. Since Linux 3.8, all non\-existent
-capabilities (above \fBCAP_LAST_CAP\fP) are shown as disabled (0).
+\fI/proc/PID/task/TID/status\fP ファイルを使うと、スレッドのケーパビリティセットを見ることができる。
+\fI/proc/PID/status\fP ファイルには、プロセスのメインスレッドのケーパビリティセットが表示される。 Linux 3.8 より前では、
+これらのケーパビリティセットの表示で、 存在しないケーパビリティはすべて有効 (1) として表示される。 Linux 3.8 以降では、
+存在しないケーパビリティはすべて無効 (0) として表示される。 (\fBCAP_LAST_CAP\fP
+より大きい値を持つケーパビリティが存在しないケーパビリティである)。
\fIlibcap\fP パッケージは、ケーパビリティを設定・取得するための ルーチン群を提供している。これらのインタフェースは、 \fBcapset\fP(2)
と \fBcapget\fP(2) が提供するインターフェースと比べて、より使いやすく、変更される可能性が少ない。 このパッケージでは、
現在の実装ではファイルケーパビリティが無効になっている場合、 プロセス毎のバウンディングセットからこのケーパビリティを抜いて \fBinit\fP
は開始され、 システム上で生成される他の全てのプロセスでこのバウンディングセットが 継承される。
.SH 関連項目
-\fBcapget\fP(2), \fBprctl\fP(2), \fBsetfsuid\fP(2), \fBcap_clear\fP(3),
+\fBcapsh\fP(1), \fBcapget\fP(2), \fBprctl\fP(2), \fBsetfsuid\fP(2), \fBcap_clear\fP(3),
\fBcap_copy_ext\fP(3), \fBcap_from_text\fP(3), \fBcap_get_file\fP(3),
\fBcap_get_proc\fP(3), \fBcap_init\fP(3), \fBcapgetp\fP(3), \fBcapsetp\fP(3),
\fBlibcap\fP(3), \fBcredentials\fP(7), \fBpthreads\fP(7), \fBgetcap\fP(8), \fBsetcap\fP(8)
.PP
Linux カーネルソース内の \fIinclude/linux/capability.h\fP
.SH この文書について
-この man ページは Linux \fIman\-pages\fP プロジェクトのリリース 3.50 の一部
+この man ページは Linux \fIman\-pages\fP プロジェクトのリリース 3.65 の一部
である。プロジェクトの説明とバグ報告に関する情報は
http://www.kernel.org/doc/man\-pages/ に書かれている。
OSDN Git Service
