能力机制（Capability）是Linux内核的强大特性，提供细粒度的权限访问控制，传统的Unix系统对进程权限只有根权限（用户id未0，即root用户）和非根权限（用户非root用户）两种。

Linux内核自2.2版本起支持能力机制，将权限划分为更加细粒度的操作能力，可以作用在进程或文件上。

比如，一个web服务进程只需要绑定一个低于1024的端口权限，而不需要完整的root权限，因此它只被授予net_bind_service

默认，Docker启动的容器被严格限制只能使用内核的部分能力，包括chown、kill、fowner等