ntpdからみるcapability - とあるSIerの憂鬱CentOSではNTPデーモンがntpユーザ権限で動作している。root権限で動いていないということで『一応安全を意識してるんだな』ぐらいにしか思っていなかった。 しかし、システム時刻を変更というrootしかできない行為をntpユーザが行っていることの不思議に(今更)気がついたので調べてみた。 これはCapability(ケーパビリティ)と呼ばれる機能を使用して実現されている。 Capability は『強大すぎるroot権限』を30-40個程度のおおまかな小さな権限(それぞれをCAP0, CAP1, ..., CAPnとしておく)に分割し、プロセスごとに 『CAPx と CAPy のみ許可』 のような設定をできるようにする仕組みである。 26種類目のCAP (CAP25) が『CAP_SYS_TIME』(include/linux/capability.h で定義) であり、『システム時
