Я хочу сделать систему работоспособной безsetuid, файл "+ Р» возможности, да и вообще без вещей которые отключены при установкеPR_SET_NO_NEW_PRIVS.

С таким подходом (init наборыPR_SET_NO_NEW_PRIVS и повышение возможностей на основе файловой системы больше невозможно)пополнение" ваши возможности и нужно только быть осторожным, чтобы неплескаться» их.

Какexecve какой-то другой процесс безразбрызгивание» любые предоставленные возможности (например, если новая программаS файлsetcap =ei)? Просто "Я доверяю этому новому процессу, как я доверяю себе ", Например, возможность даетсяпользователь (и пользователь хочет использовать его в любой программе, которую он запускает) ...

Могу ли я сделать всю файловую систему навсегда=ei? Я хочу, чтобы файловая система просто не вмешивалась в схему, не была способна предоставлять или отзывать возможности; контролировать все через parent->детские вещи.