Как найти использование диска файлами/каталогами с пробелами

Да, идея возможностей заключается в том, что идентификатор пользователя сам по себе не дает никаких особых возможностей. Процесс UID 0 также может отказаться от ненужных возможностей. Он по-прежнему сохранит доступ к файлам, принадлежащим UID 0 (, например. /etc/shadowили /etc/ssh/sshd_config), поэтому переключение на другой UID, вероятно, будет разумным решением.

Мы можем проверить это с помощью capsh, это позволяет нам удалять возможности по запросу. Здесь последняя часть запускается как сценарий оболочки, и мы видим, что chownтерпит неудачу, поскольку возможность смены владельца файла(CAP_CHOWN)была удалена:

# capsh --drop=cap_chown -- -c 'id; touch foo; chown nobody foo'
uid=0(root) gid=0(root) groups=0(root)
chown: changing ownership of 'foo': Operation not permitted

В возможностях (7 )справочной странице упоминается, что в системе предусмотрены некоторые меры безопасности для двоичных файлов setuid, которые не знают о возможностях и могут плохо справляться с ситуацией, когда некоторые навсегда удалены. См. раздел «Проверка безопасности на наличие возможностей -тупых двоичных файлов».

Эта же справочная страница, конечно же, содержит и другую полезную информацию о возможностях.