Eu quero tornar o sistema utilizável semsetuid, arquivo "+ p" capacidades, e em geral sem coisas que são desativadas quando eu definirPR_SET_NO_NEW_PRIVS.

Com esta abordagem (init ConjuntosPR_SET_NO_NEW_PRIVS e a elevação de capacidade baseada em sistema de arquivos não é mais possível) você não pode "reabastecer" suas capacidades e só precisa ter cuidado para não "espalhar" elas.

Comoexecve algum outro processo sem "espalhar" quaisquer recursos concedidos (como se o arquivo do novosetcap =ei) Apenas "eu confio neste novo processo como eu confio em mim mesmo". Por exemplo, uma capacidade é dada a umdo utilizador (e o usuário quer exercitá-lo em qualquer programa que ele comece) ...

Posso fazer todo o sistema de arquivos permanentemente=ei? Eu quero manter o sistema de arquivos apenas não interferindo com o esquema, não capaz de conceder ou revogar capacidades; controlando tudo através do pai-> coisas de criança.