Минимальные ограничения для запуска pbuilder в докере>= 1.2.0

Я придумал:

docker run -i -t --cap-add=SYS_ADMIN debian /bin/bash

Есть ли другой способ дать меньше возможностей, кроме "SYS_ADMIN", который также добавляет много других заглавных букв?

для получения дополнительной информации см. http://linux.die.net/man/7/capabilities

Linux VServer решил эту проблему, добавив еще один флаг - VXC_SECURE_MOUNT см. Http://linux-vserver.org/Capabilities_and_Flags