Add link

Signed-off-by: Kang Huaishuai <khs1994@khs1994.com>
2025-08-03 22:42:08 +00:00 · 2020-09-06 21:04:01 +08:00
parent cbaa24c48f
commit 58c09788f6
2 changed files with 5 additions and 5 deletions
--- a/security/kernel_capability.md
+++ b/security/kernel_capability.md
@@ -1,6 +1,6 @@
 # 内核能力机制

-能力机制（Capability）是 Linux 内核一个强大的特性，可以提供细粒度的权限访问控制。
+[能力机制（Capability）](https://man7.org/linux/man-pages/man7/capabilities.7.html) 是 Linux 内核一个强大的特性，可以提供细粒度的权限访问控制。
 Linux 内核自 2.2 版本起就支持能力机制，它将权限划分为更加细粒度的操作能力，既可以作用在进程上，也可以作用在文件上。

 例如，一个 Web 服务进程只需要绑定一个低于 1024 的端口的权限，并不需要 root 权限。那么它只需要被授权 `net_bind_service` 能力即可。此外，还有很多其他的类似能力来避免进程获取 root 权限。
@@ -22,5 +22,5 @@ Linux 内核自 2.2 版本起就支持能力机制，它将权限划分为更加

 这样，就算攻击者在容器中取得了 root 权限，也不能获得本地主机的较高权限，能进行的破坏也有限。

-默认情况下，Docker采用白名单机制，禁用必需功能之外的其它权限。
+默认情况下，Docker采用 [白名单](https://github.com/moby/moby/blob/master/oci/caps/defaults.go) 机制，禁用必需功能之外的其它权限。
 当然，用户也可以根据自身需求来为 Docker 容器启用额外的权限。