n  Chroot jail restrictions ON – при включении этой опции станет доступна группа опций, реализующих защиту chroot. Все последующие опции относятся к процессам внутри chroot.

n  Deny mounts ON – процессы не смогут монтировать файловые системы.

n  Deny double-chroots ON – процессы не смогут сделать двойной chroot за пределы первого.

n  Deny pivot_root in chroot ON – запрет на использование функции pivot_root(). Эта функция способна разрешить выход процессу за пределы chroot.

n  Enforce chdir(“/”) on all chroots ON – корневой каталог chroot будет установлен в качестве текущей рабочей директории для всех chroot-программ.

n  Deny (f)chroot +s ON – процесс не сможет выполнить chmod и fchmod для файлов с целью установить suid или sgid бит.

n  Deny fchdir out of chroot ON – запрет на использование известной технологии прерывания chroot с помощью fchdir.

n  Deny mknod ON – запрет на использование mknod.

n  Deny shmat() out of chroot ON – запрет на присоединение к сегменту памяти процессов, запущенных вне chroot.

n  Deny access to abstract AF_UNIX sockets out of chroot ON – процессы внутри chroot не способны подсоединяться к сокетам вне chroot.

n  Protect outside processes ON – запрет на посыл спецсигналов процессам вне chroot.

n  Restrict priority changes ON – запрет на повышение привилегий процессов.

n  Deny sysctl writes in chroot ON – запрет на использование sysctl.

n  Capability restrictions within chroot ON – всем процессам, принадлежащим пользователю root, запрещается работа с модулями, сырым вводом-выводом, системными и сетевыми задачами и т. д.

Kernel Auditing (Аудит ядра)

Тут мы должны определить значения различных опций аудита, которые отвечают за вывод полезной для администратора информации.

n  Single group for auditing OFF – эта опция позволяет выводить информацию о конкретном пользователе или группе. Удобно в случае слежения за конкретным пользователем или группой.

n  Exec logging OFF – протоколирование запуска файлов.

n  Resource logging ON – протоколирование использования системных ресурсов.

n  Log execs within chroot OFF – все запуски файлов внутри chroot будут протоколироваться с помощью syslog.

n  Chdir logging OFF – протоколирование всех вызовов chdir() (смена каталога).

n  (Un)Mount logging OFF – протоколирование монтирования и размонтирования файловых систем.

n  IPC logging OFF – протоколирование создания и удаления очереди сообщений, семафоров, общей памяти.

n  Signal logging ON – протоколирование важных сигналов (SIGSEGV), поскольку они являются признаком попыток взлома.

n  Fork failure logging ON – протоколирование всех попыток fork().

n  Time change logging ON – протоколирование попыток изменения системного времени.

n  /proc/<pid>/ipaddr support OFF – к информации о процессе добавится IP-адрес пользователя, его запустившего.

n  ELF text relocations logging OFF – только для разработчиков.