no_file_caps
要求内核无视文件的权限。这样,执行文件的唯一途径就只有:由root去执行或者setuid root
noexec={on|off}
noexec32={on|off}
是否允许将某部分内存映射为”禁止执行”,这是一种防止数据缓冲区溢出攻击的保护措施(也就是WinXP SP2曾经大力宣传的数据执行保护功能),建议保持默认值”on”。
[说明]noexec对32bit代码以及64bit代码都有约束力,而noexec32只针对32bit代码。
nosmap
禁用SMAP(CONFIG_X86_SMAP)支持。SMAP是Intel从Haswell微架构开始引入的一种新特征,用途是禁止内核因为自身错误意外访问用户空间的数据,以避免一些内核漏洞所导致的安全隐患。
nosmep
禁用SMEP(Supervisor Mode Execution
Prevention)支持。SMEP与SMAP类似,也是Intel从Haswell微架构开始引入的一种新特征,用途是禁止内核因为自身错误意外执行
用户空间的代码。以避免一些内核漏洞所导致的安全隐患。
nordrand
即使CPU支持(CONFIG_ARCH_RANDOM),也禁止内核使用RDRAND指令(不过用户空间依然可以使用此指令)。由于很多人怀疑RDRAND指令所依赖的硬件随机数生成器所使用的加密标准(NIST SP800-90)被NSA植入了后门,所以提供了该选项以禁用它,不过大神Torvalds不以为然。
vsyscall={emulate|native|none}
控制vsyscall系统调用(调用固定的地址0xffffffffff600x00)的行为。大多数静态链接的可执行程序和老旧的Glibc会使用这个系统调用。因为vsyscall始终位于固定的地址,所以很容易被攻击者利用。
emulate(默认值) 捕捉vsyscalls系统调用,并对其进行安全的模拟。这是比较安全的选项,但效率并不最高。
native 将vsyscall系统调用直接转变成本地syscall指令,这比模拟方式效率稍微高一些。但是很容易被攻击。
none 完全禁用vsyscall系统调用。这是最安全的选项,但是有可能会导致系统工作异常。
[EVM]
evm=”fix”
不管当前的完整性状态如何,都允许更新”security.evm”。
[SECURITY]
security={selinux|smack|tomoyo|apparmor|yama}
选择启用的安全模块。仅在内核同时开启了多个安全模块的情况下才有意义。
[SELINUX]
selinux={0|1}
是否在启动时就开启SELinux功能(CONFIG_SECURITY_SELINUX_BOOTPARAM):”0″表示关闭,”1″表示开启。
默认值由内核在编译时确定(CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE)。
即使设为”1″,随后也可以通过 /selinux/disable 在加载安全策略前禁止SELinux功能。
[SELINUX]
enforcing={0|1}
是否在启动时强制启用SELinux规则。
“0”(默认值)表示仅仅做记录违规操作日志而不真正拒绝违规操作;
“1”表示真正拒绝违规操作并做记录违规操作日志。
该选项还可以在运行时通过 /selinux/enforce 进行修改
[SELINUX]
checkreqprot={0|1}
设置”checkreqprot”标记的初始值。
“0”表示由内核强制执行检查保护(包括其中隐含的所有执行保护)
“1”表示由应用程序自己主动请求执行检查保护
默认值由内核在编译时确定,也可以在运行时通过 /selinux/checkreqprot 修改
[APPARMOR]
apparmor={0|1}
是否在启动时就开启AppArmor功能(CONFIG_SECURITY_APPARMOR):”0″表示关闭,”1″表示开启。
默认值由内核在编译时确定(CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE)。
