6.2.1 最小权限原则：Drop 与 Add Capabilities

文档摘要

6.2.1 最小权限原则：Drop 与 Add Capabilities 在Linux系统的权限治理体系中，root用户曾长期扮演着"全能神"的角色。这种二进制化的权限模型——要么拥有一切，要么一无所有——在现代云原生与容器化部署场景下显得愈发笨拙。试想，一个仅需绑定低端口（如80）的Web服务，传统做法往往要求以root身份启动，这无异于将整把万能钥匙交给了一个仅需打开特定抽屉的访客。Linux Capabilities机制的引入，本质上是将root的"全能特权"拆解为数十个细粒度的原子能力单元，而最小权限原则（Principle of Least Privilege, PoLP）在这一语境下的实践，便转化为一场关于精确裁剪与动态管控的工程艺术。