Что такое Linux namespaces и capabilities? Как с их помощью реализуется Docker-изоляция. Чем capabilities отличаются от классических UID-based прав.