Замена для cap-bound
Это должно быть поведением по умолчанию, таким образом, можно делать что-то при пользовательском создании, которое заставляет подсказку происходить. Запрос при следующем входе в систему обычно делается chage -d0 <userName>. Существует третье лицо модули PAM, которые не могут сделать этого, но это вне объема того, о чем у меня есть знание.
Можно хотеть отправить определенные шаги, до которых Вы делаете, создают пользователя.
Из инструкции:
P'(ambient) = (file is privileged) ? 0 : P(ambient)
Процесс может получить привилегии от своего родителя.
P'(permitted) = (P(inheritable) & F(inheritable)) |
(F(permitted) & cap_bset) | P'(ambient)
Процесс может получить привилегии от файла, если они есть в его наследуемом наборе или в его шапке _bset.
P'(effective) = F(effective) ? P'(permitted) : P'(ambient)
P'(inheritable) = P(inheritable) [i.e., unchanged]
Он получает унаследованный набор от своих родителей
where:
P denotes the value of a thread capability set before the
execve(2)
P' denotes the value of a thread capability set after the
execve(2)
F denotes a file capability set
cap_bset is the value of the capability bounding set (described
below).
…
Note that the bounding set masks the file permitted capabilities, but
not the inheritable capabilities. If a thread maintains a capability
in its inheritable set that is not in its bounding set, then it can
still gain that capability in its permitted set by executing a file
that has the capability in its inheritable set.
Так же нужно убрать из inheritableнабор
Поэтому удалите привилегии у корневого процесса(init):удалите привилегии у cap_bset, inheritable, permittedи effective.