Não é uma resposta completa, mas isso pode ajudar a entender o que está acontecendo.
De link :
Conjunto de limites de capacidade antes do Linux 2.6.25
Nos kernels anteriores a 2.6.25, o conjunto de limites de recursos é um sistema atributo amplo que afeta todos os encadeamentos no sistema. O bounding conjunto está acessível através do arquivo
/proc/sys/kernel/cap-bound
....
Conjunto de limites de recursos do Linux 2.6.25 em diante
No Linux 2.6.25, o conjunto de recursos limitados é um encadeamento por thread. atributo. (Não há mais um limite de capacidade em todo o sistema set.)
...
A remoção de recursos do conjunto de limites é suportada apenas se o arquivo as capacidades são compiladas no kernel. Nos kernels antes do Linux 2.6.33, os recursos de arquivo eram um recurso opcional configurável via a opção
CONFIG_SECURITY_FILE_CAPABILITIES
. Desde o Linux 2.6.33, a opção de configuração foi removida e os recursos de arquivo são sempre parte do kernel. Quando os recursos de arquivo são compilados o kernel, o processoinit
(o ancestral de todos os processos) começa com um conjunto completo de limites. Se os recursos de arquivo não forem compilados o kernel, entãoinit
começa com um conjunto delimitador completo menosCAP_SETPCAP
, porque essa capacidade tem um significado diferente quando não há recursos de arquivo.Remover um recurso do conjunto de limites não o remove o conjunto herdado do encadeamento. No entanto, impede a capacidade de ser adicionado de volta ao conjunto herdado do segmento no futuro.