> Так не отнять капы у рута. Это вообще наверное не возможно без патчей. Патчи есть.Давно уже с помощью MAC можно отнимать, пофайлово, привилегии CAP у root процесса.
Как раз смотря на простыни политик MAC мне и захотелось иметь возможность с помощью XATTR отнимать, пофайлово, привилегии CAP у root процессов.
Можно сказать, что я очень ленив, а мне надо результат максимально просто.
Править код C - сложно.
Поддерживать кучу скриптов с setpriv, capsh и настройки сыстемды с cap - сложно.
Поддерживать политики MAC с пофайлово указанными CAP для root - сложно.
XATTR с необходимыми CAP для файла - самое простое и правильное решение этой задачи.