n  администрирование межсетевого экрана, трансляцию адресов;

n  установку опций отладки для сокетов;

n  изменение таблиц маршрутизации;

n  привязку к любому адресу для прозрачного проксирования;

n  установку TOS (type of service);

n  установку неразборчивого (promiscuous) режима для сетевой карты;

n  очистку статистики драйвера;

n  мультивещание;

n  чтение/запись в определенные регистры устройства.

n  CAP_SYS_ADMIN – разрешает:

n  администрирование устройства random;

n  конфигурирование дисковых квот;

n  конфигурирование syslog ядра;

n  установку доменного имени (domainname);

n  установку имени хоста (hostname);

n  вызов bdflush();

n  монтирование и размонтирование, установку нового smb-подключения;

n  блокирование/разблокирование общедоступной памяти (shared memory);

n  включать/выключать подкачку (swap);

n  установку геометрии для флоппи-дисковода;

n  включение/выключение режима DMA;

n  настройку IDE-драйверов;

n  доступ к устройству nvram;

n  администрирование apm_bios, последовательных и bttv (TV) устройств;

n  установку последовательных портов;

n  включение/отключение SCSI-контроллеров, посылку произвольных SCSI-команд.

Процессу (субъекту) доступны два сетевых параметра – connect и bind. Параметр connect отвечает за доступ процесса в сеть, а параметр bind – за привязку процесса к сетевому интерфейсу:

connect <IP-адрес>/<маска>:<начальный порт>-<конечный порт> <тип> <протокол>

bind <IP-адрес>/<маска>:<начальный порт>-<конечный порт> <тип> <протокол>

Если конечный порт не определен, то начальный порт является и начальным, и конечным портом. Если не определены оба порта, то в качестве начального порта используется 0, а в качестве конечного порта – 65535. Тип может принимать значения: sock, dgram, raw_sock any_sock, stream. Протокол – любой из перечисленных в /etc/protocols, а также raw_proto и any_proto. Если процесс не должен иметь возможности подключения или привязки, то для этого существует ключевое слово disabled:

subject /bin/su o {