Quiero que el sistema sea utilizable sinsetuid, capacidades del archivo "+ p", y en general sin elementos que están deshabilitados cuando configuroPR_SET_NO_NEW_PRIVS.

Con este enfoque (init conjuntosPR_SET_NO_NEW_PRIVS y la elevación de la capacidad basada en el sistema de archivos ya no es posible) no puede "rellenar" sus capacidades y solo debe tener cuidado de no "salpicarlas".

Cómoexecve algún otro proceso sin "salpicar" cualquier capacidad otorgada (por ejemplo, si el archivo del nuevo programa essetcap =ei)? Simplemente "confío en este nuevo proceso como confío en mí mismo". Por ejemplo, se da una capacidad a unusuario (y el usuario quiere ejercitarlo en cualquier programa que inicie) ...

¿Puedo hacer todo el sistema de archivos de forma permanente?=ei? Quiero mantener el sistema de archivos sin interferir con el esquema, no ser capaz de otorgar o revocar capacidades; controlando todo a través del padre-> cosas infantiles.