lcap 可从 http://pw1.netcom.com/~spoon/lcap 获取。 lcap 有个小问题:如果在 0.0.6 版本中移除 CAP_SYS_MODULE,它会声称没有设置任何 capability。 移除 CAP_SYS_MODULE 的一个奇怪副作用是,将来对 cap-bound 的读取访问将被拒绝。 因此,您可能应该最后移除 CAP_SYS_MODULE。
libcap 可以在 www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4 找到。 除了提供到内核 capability 系统的可移植接口外,libcap 还捆绑了诸如 setpcaps、getpcaps、execcap 和 sucap 之类的实用程序,这些实用程序应该会派上用场。
请访问 www.openwall.com,了解一些巧妙的安全补丁和其他您可能会喜欢的应用程序。
如果所有关于 capabilities 的讨论让您口水直流,您可能想查看 LIDS(Linux 入侵检测系统,www.lids.org),了解一些非常酷的东西。
可以在 www.uwsg.iu.edu/hypermail/linux/kernel/0007.3/0006.html 找到 Linux 内核邮件列表中关于直接硬件访问风险的有趣讨论。
请访问 www.securityfocus.com/bid/1813,了解有关最近 ping 漏洞的 BugTraq 信息。 看起来无法利用,但当时确实让我们吓了一跳。