Les "capabilities" correspondent à un dèmembrement des droits root (UID = 0).
Je prétends que ce truc est une branlette intellectuelle vaine et une gigantesque perte de temps, parce qu'en fait un seul des composants permet la plupart du temps de récupérer le vrai root (UID=0 et toutes les capacités) SAUF lorsqu'il s'agit des droits d'accès aux interfaces réseaux.
Je pense qu'il s'agit quand même d'une déviation néfaste par rapport à la philosophie Unix. J'aurais préféré un système "de type capacités", comme les descripteurs de fichiers.