Capabilities для доступа к файлу

Какие бы права не были выставлены на файл, root будет иметь к нему доступ на чтение, запись и исполнение благодаря capability CAP_DAC_OVERRIDE. То же справедливо для любого процесса, который получил эту capability. Например, для /bin/passwd достаточно было бы иметь CAP_DAC_OVERRIDE для записи в /etc/passwd и /etc/shadow.

Есть тонкость, связанная с флагом на исполнение. Если флаг на исполнение не выставлен ни в одной из позиций (user, group, other), то root выполнить файл не может, а вот права типа --- --- --x уже достаточны для выполнения файла.

Другие capabilities, связанные с правами доступа:

• CAP_FSETID — позволяет копировать файлы с сохранением suid, sgid. Применяет sgid для процессов, которые не входят в группу, которой принадлежит файл
• CAP_CHOWN — право на смену владельца и группы файла
• CAP_DAC_READ_SEARCH — эквивалентно применению прав r-x на все каталоги
• CAP_FOWNER — эквивалентно применения прав, которые обычно принадлежат только владельцу объекта, в том числе: chmod, управление ACL, запись в файлы в каталогах со stiky bit (/tmp). Для записи в чужие файлы в таком каталоге CAP_DAC_OVERRIDE будет недостаточно.