允许权限集中必须包含进程可能使用的所有权限。相反,应该从相应程序的允许权限集中排除任何永远不会使用的权限。
启动进程时,该进程将从父进程继承允许权限集。通常,在登录时或进入新的配置文件 shell 时,在初始的允许权限集中包含所有权限。此集中的权限由管理员指定。每个子进程都可以从允许集中删除权限,但不能向允许集中添加其他权限。作为安全预防措施,应该从允许集中删除程序从不使用的那些权限。这样,便可避免程序使用错误分配或继承的权限。
系统将从有效集中自动删除从允许集中删除的权限。