Grsecurity/附錄/主體模式
< Grsecurity | 附錄
| 模式 | 含義 |
|---|---|
| a | 允許此程序與/dev/grsec裝置通訊。 |
| b | 為此主體中的程序啟用程序記賬。 |
| d | 保護此主體中程序的/proc/<pid>/fd、/proc/<pid>/mem、/proc/<pid>/cmdline和/proc/<pid>/environ條目。 |
| h | 此程序處於隱藏狀態,只有具有v模式的程序才能檢視。 |
| i | 啟用基於繼承的學習,導致此主體及其執行的所有內容的所有訪問都被記錄為源自此主體。從這種學習生成的策略將在從該主體執行的每個檔案上新增繼承標誌。 |
| k | 此程序可以殺死受保護的程序。 |
| l | 為該程序啟用學習模式。 |
| o | 覆蓋此程序的ACL繼承。 |
| p | 此程序受保護;它只能被具有k模式的程序或同一主體內的程序殺死。 |
| r | 放寬ptrace限制(允許ptracing除自己的子程序之外的程序)。 |
| s | (在v2.2.1及更高版本中):啟用AT_SECURE在進入此主體時。這將啟用與在執行suid二進位制檔案時在glibc中發生的相同的環境清理。 |
| t | 允許ptracing任何程序(除非必要,不要使用,允許ptrace跨越主體邊界)。此標誌還允許程序使用CLONE_FS並執行導致主體更改的二進位制檔案。 |
| v | 此程序可以檢視隱藏程序。 |
| x | 允許此主體執行匿名共享記憶體。 |
| A | 保護此主體的共享記憶體。除包含在此主體中的程序外,其他程序不得訪問此主體的共享記憶體。 |
| C | 在違反安全策略時,自動殺死屬於攻擊者IP地址的所有程序。 |
| K | 當屬於此主體的程序生成警報時,殺死程序。 |
| O | 允許載入可寫庫。 |
| T | 拒絕執行任何其他主體在策略中可寫的二進位制檔案或指令碼。此標誌在策略啟用時進行評估。所有具有執行許可權且由另一個主體可寫的二進位制檔案(忽略特殊角色)將被報告,RBAC系統將不允許自身啟用,直到更改完成。 |