Capability CAP_SYS_ADMIN

lxrでCAP_SYS_ADMINを改めて検索(これは，普通のLinuxにもありますよ）。
やっぱ分からん。
色んなドライバにまで入っている。
「ドライバまたはカーネルサブシステムの開発者」が，「なんとなくこの操作は危険だ（ioctlの中に入っていることが多い)」と判断した場合，「capable(CAP_SYS_ADMIN)」を入れている気がする。
たぶん，CAP_SYS_ADMINの厳密な意味はないのだろう。
「その他管理に関連しそうな操作」という曖昧な位置づけと思われる。

うーむ。SELinux Policy Editorでは，
CAP_SYS_ADMINを完全廃止したいのだが，
セキュリティ上の影響がなんとなく心配になってしまう。
SELinux Policy Editorで，
ioctlの制御をどのようにまとめるかも，
CAP_SYS_ADMIN廃止の意味でも，鍵だな。