capsudo - reemplazo minimalista de sudo diseñado con un modelo de permisos por objetos

(github.com/kaniini)

11 puntos por xguru 2026-01-14 | 2 comentarios | Compartir por WhatsApp

Aplica el modelo de permisos por objetos (Object-Capability Model) en lugar del modelo tradicional de permisos basado en usuarios y reglas de sudo/doas, simplificando la delegación de privilegios
Expresa los permisos no mediante un archivo de configuración, sino con una estructura donde el propio socket es la capacidad (capability)
- capsudod crea un socket de permiso capaz de ejecutar un comando específico y queda a la espera
- capsudo accede a ese socket y solo puede ejecutar el comando enlazado de antemano
Solo con los permisos de archivo del socket (propietario, grupo y modo) se puede controlar claramente quién puede ejecutar qué
Sin reglas de coincidencia entre usuarios y comandos, analizadores ni lenguajes de políticas complejos, se integra de forma natural con el modelo de permisos de Unix

Es especialmente adecuado para la delegación de permisos de propósito único, como permitir a un usuario ejecutar solo reboot

# capsudod -s /home/user/reboot-capability reboot &amp;  
# chown user:user /home/user/reboot-capability &amp;&amp; chmod 700 /home/user/reboot-capability  
$ capsudo -s /home/user/reboot-capability

Fácil de usar como alternativa a sudo/doas en entornos de sistemas minimalistas como Alpine Linux
Un diseño enfocado no en “quién puede ejecutarlo”, sino en “quién posee esta capability”

2 comentarios

letaem77a 2026-01-14

https://github.com/kaniini/capsudo

xguru 2026-01-14

Ups, me faltó un / ;_;. Ya lo corregí.

capsudo - reemplazo minimalista de sudo diseñado con un modelo de permisos por objetos

Lecturas relacionadas

2 comentarios