capsudo - substituto minimalista para sudo projetado com um modelo de permissões por objetos

(github.com/kaniini)

11 pontos por xguru 2026-01-14 | 2 comentários | Compartilhar no WhatsApp

Em vez do modelo tradicional de permissões baseado em usuários e regras do sudo/doas, aplica o Modelo de Capacidades por Objetos (Object-Capability Model) para simplificar a delegação de privilégios
Expressa permissões não em um arquivo de configuração, mas em uma estrutura onde o próprio socket é a capacidade (capability)
- capsudod cria um socket de permissão capaz de executar um comando específico e fica aguardando
- capsudo acessa esse socket e só pode executar o comando previamente vinculado
Controla com clareza quem pode executar o quê apenas com as permissões de arquivo do socket (proprietário, grupo e modo)
Sem regras de correspondência entre usuário e comando, parser ou linguagem de políticas complexa, integra-se naturalmente ao modelo de permissões Unix

Especialmente adequado para delegação de privilégios com finalidade única, como permitir apenas reboot para um usuário específico

# capsudod -s /home/user/reboot-capability reboot &amp;  
# chown user:user /home/user/reboot-capability &amp;&amp; chmod 700 /home/user/reboot-capability  
$ capsudo -s /home/user/reboot-capability

Fácil de usar como alternativa ao sudo/doas em ambientes de sistema minimalistas, como Alpine Linux
Projeto focado não em “quem pode executar”, mas em “quem possui esta capability”

2 comentários

letaem77a 2026-01-14

https://github.com/kaniini/capsudo

xguru 2026-01-14

Ah, deixei faltar uma / T_T. Já corrigi.

capsudo - substituto minimalista para sudo projetado com um modelo de permissões por objetos

Leituras relacionadas

2 comentários