jcmvbkbc

Что делать в такой ситуации?

Добавить пользователя который выполняет этот скрипт в /etc/sudoers с флагом NOPASSWD. Костыли убрать:

username ALL=(ALL:ALL) NOPASSWD: ALL

Правильно ли я понимаю, что обычный пользователь может скачать программу с превышенными привилегиями или самостоятельно задать их с помощью setcap?

Нет. Для того чтобы выполнить setcap нужно иметь CAP_SETFCAP. Вот что говорит об этом man capabilities:

Since kernel 2.6.24, the kernel supports associating capability sets with an executable file using setcap(8). The file capability sets are stored in an extended attribute (see setxattr(2)) named security.capability. Writing to this extended attribute requires the CAP_SETFCAP capability

ping и др. не будут работать на Arch Linux если ставить систему на ZFS?

Я ничего не знаю о ZFS, но если она не поддерживает extended attributes, то ping в режиме no-suid работать не будет. Но всегда можно отдать его во владение руту и установить SUID бит.

Для большинства опций -- будет переписано последним переданным значением. В частности это справедливо для -march и -mtune на x86.
Но в общем случае может быть что угодно, поскольку gcc может преобразовывать одни опции в другие согласно своим спекам перед вызовом собственно компилятора.

Открой для себя buildroot.