+Con l'introduzione delle \textit{file capabilities} sono stati introdotti
+altri tre insiemi associabili a ciascun file.\footnote{la realizzazione viene
+ eseguita con l'uso di uno specifico attributo esteso,
+ \texttt{security.capability}, la cui modifica è riservata, (come illustrato
+ in sez.~\ref{sec:file_xattr}) ai processi dotato della capacità
+ \macro{CAP\_SYS\_ADMIN}.} A differenza delle precedenti le \textit{file
+ capabilities} hanno effetto soltanto quando il file che le porta viene
+eseguito come programma con una \func{exec}, e forniscono un meccanismo che
+consente l'esecuzione di alcuni programmi con maggiori privilegi, in sostanza
+una estensione dell'uso del \acr{suid} di root. Anche questi tre insiemi sono
+identicati con gli stessi nomi, ma il loro significato è:
+\begin{basedescript}{\desclabelwidth{2.0cm}\desclabelstyle{\nextlinelabel}}
+\item[\textit{permitted}] (chiamato originariamente \textit{forced}) l'insieme
+ delle capacità che con l'esecuzione del file verranno comunque aggiunte alle
+ capacità \textsl{permesse} del processo.
+\item[\textit{inheritable}] (chiamato originariamente \textit{allowed})
+ l'insieme delle capacità che con l'esecuzione del file possono essere
+ ereditate dal processo originario (che cioè vengono tolte dalle
+ \textsl{ereditabili} del processo originale all'esecuzione di
+ \func{exec}).
+\item[\textit{effective}] in questo caso non si tratta di un insieme ma di un
+ unico valore logico; se attivo all'esecuzione del programma tutte le
+ capacità che risulterebbero \textsl{permesse} verranno pure attivate,
+ inserendole automaticamente nelle \textsl{effettive}, se disattivato nessuna
+ capacità verrà attivata (cioè le effettive restano vuote).
+\end{basedescript}
+
+Infine come accennato, esiste un altro insieme, il
+\itindex{capabilities~bounding~set} \textit{capabilities bounding set}, il cui
+scopo è quello di costituire un limite alle capacità che possono essere
+attivate per un processo, ma il suo significato è stato completamente
+modificato con l'introduzione delle \textit{file capabilities}.
+
+
+a meno che non sia dotato della capacità
+ \macro{CAP\_SETPCAP} nel qual caso potrà, come vedremo in seguito,
+ impostarne anche altre.
+
+che non esegua un programma che è \acr{suid} di root o
+ che ce l'ha nelle \textit{capabilities} presenti sul file
+ eseguibile.\footnote{e neanche in questo caso se vengono usate le estensioni
+ introdotte con il kernel 2.6.26 che vedremo più avanti.}