/bin                            h

        /bin/date                       x

        /bin/mkdir                      x

        /bin/rm                         x

        /dev/tty                        rw

        /dev/null                       rw

...............................

}

Запуск утилит будет возможен только в том случае, если инициатором будет sarg.

Любая программа, входящая в субъект (subject), называется объектом (object). При описании субъектов и объектов необходимо использовать абсолютные пути:

subject /bin/su o {

    /etc/passwd r

    /etc/shadow r

    -CAP_ALL

}

Субъекту (subject) доступны следующие режимы:

n  h – процесс скрыт и может быть прочитан только процессом с флагом v;

n  v – процесс может видеть скрытые процессы;

n  p – процесс защищен, он может быть завершен только процессом с флагом k или процессом, принадлежащим этому же субъекту;

n  k – процесс может завершать защищенные процессы;

n  l – режим обучения для данного процесса;

n  d – защитить /proc/<pid>/fd и /proc/<pid>/mem для процессов в этом субъекте;

n  b – включить process accounting для процессов в этом субъекте;

n  P – отключить PAGEEXEC для этого субъекта (PaX);

n  S – отключить SEGMEXEC для этого субъекта (PaX);

n  M – отключить MPROTECT для этого субъекта (PaX);

n  R – отключить RANDMMAP для этого субъекта (PaX);

n  G – включить EMUTRAMP для этого субъекта (PaX);

n  X – включить RANDEXEC для этого субъекта (PaX);

n  O – переписать расширенные restriction mmap() и ptrace() для этого субъекта;

n  A – защитить общую память для этого субъекта, только входящие в этот субъект процессы могут получить доступ к памяти этого субъекта;

n  K – если процесс создает опасную ситуацию, завершить процесс;

n  C – если процесс создает опасную ситуацию, завершить этот процесс и все процессы, запущенные с того же IP-адреса;