Eu adicionei uma linha a /etc/security/capability.conf para que eu possa ter um usuário que possa ler tudo para backups, mas não fazer tudo que o root pode fazer.
cap_dac_read_search backup
Se eu adicionar uma senha e um shell para o usuário e, em seguida, efetuar login, obtenho o recurso herdado:
backup$ capsh --print
Current: = cap_dac_read_search+i
Mas não aparece quando eu su na conta:
user$ sudo su backup -s /bin/sh -c "capsh --print"
Current: =
Naturalmente, funciona para sudo ou su para raiz:
user$ sudo capsh --print
Current: = cap_chown,cap_dac_override, ...
Existe uma maneira de transferir os recursos ao usar su ?
Instale libpam-cap
Em /etc/pam.d/su , verifique se pam_cap.so aparece antes pam_rootok.so
auth optional pam_cap.so
auth sufficient pam_rootok.so
Você já tem capability.conf configurado, então você estará pronto!