07-进程许可和有效能力集的目的

39.3.3　进程许可和有效能力集的目的

进程的许可集定义了进程能够使用的能力。进程的有效能力集定义了进程当前使用的能力——即内核会使用这组能力来检查进程是否拥有足够的权限执行某个特定的操作。

许可能力集为有效能力集定义了一个上限。进程只能将其许可能力集中的能力上升到有效集中。（上升有时候也被称为添加或设置，与之相反的操作是丢弃或删除或清除。）

有效能力集和许可能力集之间的关系与一个set-user-ID-root程序中的有效用户ID和set-user-ID之间的关系类似。从有效集中删除一个能力与临时删除一个有效用户ID 0同时在saved set-user-ID中维持0是类似的。从有效能力集和许可能力集中删除一个能力与通过将有效用户ID和saved set-user-ID设置为非零值来永久删除超级用户权限类似。