Alcuni commenti su capabilities:
https://forums.grsecurity.net/viewtopic.php?t=2522
Diciamo che l'utilizzo migliore è appunto CAP_NET_BIND_SERVICE per
bindare servizi su porte privileged senza che debbano essere root o raw
socket per ping & co. Alcune distro (o solo alcuni hardening?) le usano
anche per non dare i privilegi di root a X (ma poi dandogli i permessi
di owner su qualsiasi file è quasi uguale eh
Se ti interessa l'argomento e una comparazione con altri, vedi:
https://media.ccc.de/v/36c3-10519-a_systematic_evaluation_of_openbsd_s_mitigations
https://isopenbsdsecu.re/
ciao,
I.