Управление правами доступа

Классическая модель доступа основана на том, что root может всё, а обычный пользователь может получить доступ к файлам, на которые установлены соответствующие права, а также отправить сигнал своим процессам. Повышение прав доступа обеспечивается специальными флагами в правах доступа (suid и sgid) на двоичные исполняемые файлы (не скрипты).

Современная модель доступа делит полномочия root на отдельные группы — capabilities. root имеет полный набор capabilities, но может отказаться от части из них. В дополнительные аттрибуты исполняемого файла вместо suid/sgid можно вписать получение тех или иных capabilities.