> В первом случае капы даются только на бинарник. Во втором Васе вообще.
> С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав.Садись, двойка.
В первом случае права CAP даются на бинарник всем, а с помощью DAC право запускать бинарь разрешают только группе wiresharck. Таким образом права CAP фактически получат только члены этой группы и только на процесс dumpcap.
Во втором случае в /etc/security/capability.conf, пользователю дается только возможность наследовать определенные права CAP, а сами права он получает только при исполнении файла для которого установлены эти права с битом наследования. Таким образом права CAP фактически получит только определенные в /etc/security/capability.conf пользователи и только на процесс dumpcap.
Заметь разницу:
Вариант 1
setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap
Вариант 2
setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap
PS: как права root порезать знаешь? Ссылки на патчи есть?