On Mon, Jun 08, 2009 at 06:22:37PM +0400, Afanasov Dmitry wrote:
> как я понимаю, capset после pthread_create проставит capabilities только
> для текущего треда, так?

Да.

> вопрос: как постфактум проставить для всех порожденных тредов?
> 
> если никак, то придется drop_root вписывать в пяток лишних файлов.

Про технический аспект Сергей уже написал.  Что касается безопасности, то
лучше выполнить drop root до порождения тредов.  Поскольку потоки обладают
возможностью существенно влиять на поведение других родственных потоков,
может сложиться ситуация, когда, например, один поток ещё выполняется с
правами root, а другой -- уже непривилегированный и обрабатывает запросы
клиентов.


-- 
ldv