Linux Capabilities

Linux Capabilities sont une fonctionnalité du kernel divisant les privilèges traditionnels de root en ~40 capabilities indépendantes et granulaires, permettant d'accorder à un processus juste ce qu'il faut (least privilege) au lieu de full root.

Exemples capabilities (CAP_*) : (1) **CAP_NET_BIND_SERVICE** — bind ports <1024 (e.g. 80, 443) ; (2) **CAP_NET_ADMIN** — configure interfaces, routes, firewall ; (3) **CAP_NET_RAW** — raw sockets (ping, traceroute) ; (4) **CAP_SYS_ADMIN** — "new root" (très large, beaucoup d'ops admin — éviter) ; (5) **CAP_SYS_PTRACE** — ptrace processes ; (6) **CAP_DAC_OVERRIDE** — bypass file permissions ; (7) **CAP_CHOWN** — change file ownership ; (8) **CAP_KILL** — kill any process ; (9) **CAP_AUDIT_WRITE** ; (10) **CAP_SETUID/CAP_SETGID**.

Use cases : (1) **Webservers** — Nginx/Apache run as non-root user but need CAP_NET_BIND_SERVICE pour ports 80/443 ; (2) **Containers** — Docker/Kubernetes containers run with minimal capabilities by default (Docker default: 14 caps, Kubernetes drops some), can `--cap-add` ou `--cap-drop` selon besoin ; (3) **systemd services** — `AmbientCapabilities=`, `CapabilityBoundingSet=` ; (4) **setcap binary** — `setcap cap_net_bind_service=+ep /usr/bin/myapp`.

Vérification : `getcap binary`, `getpcaps PID` pour process. Best practice : drop all + add seulement nécessaires (Docker `--cap-drop ALL --cap-add NET_BIND_SERVICE`). Compétences RHCSA, CKS.