利用capability特征加强Linux系统安全

　　CAP_IPC_OWNER 15 忽略IPC所有权检查

　　CAP_SYS_MODULE 16 插入和删除内核模块

　　CAP_SYS_RAWIO 17 允许对ioperm/iopl的访问

　　CAP_SYS_CHROOT 18 允许使用chroot()系统调用

　　CAP_SYS_PTRACE 19 允许跟踪任何进程

　　CAP_SYS_PACCT 20 允许配置进程记帐(process accounting)

　　CAP_SYS_ADMIN 21 允许执行系统管理任务：加载/卸载文件系统、设置磁盘配额、开/关交换设备和文件等。详情请参考/usr/src/linux/include/linux/capability.h文件。

　　CAP_SYS_BOOT 22 允许重新启动系统

　　CAP_SYS_NICE 23 允许提升优先级，设置其它进程的优先级

　　CAP_SYS_RESOURCE 24 忽略资源限制

　　CAP_SYS_TIME 25 允许改变系统时钟

　　CAP_SYS_TTY_CONFIG 26 允许配置TTY设备

　　CAP_MKNOD 27 允许使用mknod()系统调用

　　CAP_LEASE 28 Allow taking of leases on files

　　4.能力边界集

　　Linux2.2内核提供了对能力的基本支持。但是在引入了能力之后遇到了一些困难，虽然2.2版本的内核能够理解能力，但是缺乏一个系统和用户之间的接口。除此之外，还存在其它的一些问题。从2.2.11版本开始，这种情况发生了很大的改观，在这个版本中引入了能力边界集(capability bounding set)的概念，解决了和系统和用户之间的接口问题。能力边界集(capability bounding set)是系统中所有进程允许保留的能力。如果在能力边界集中不存在某个能力，那么系统中的所有进程都没有这个能力，即使以超级用户权限执行的进程也一样。

　　能力边界集通过sysctl命令导出，用户可以在/proc/sys/kernel/cap-bound中看到系统保留的能力。在默认情况下，能力边界集所有的位都是打开的。