no_file_caps
要求内核无视文件的权限。这样,执行文件的唯一途径就只有:由root去执行或者setuid root
noexec={on|off}
noexec32={on|off}
是否允许将某部分内存映射为”禁止执行”,这是一种防止数据缓冲区溢出攻击的保护措施(也就是WinXP SP2曾经大力宣传的数据执行保护功能),建议保持默认值”on”。
[说明]noexec对32bit代码以及64bit代码都有约束力,而noexec32只针对32bit代码。
nosmap
禁用SMAP(CONFIG_X86_SMAP)支持。SMAP是Intel从Haswell微架构开始引入的一种新特征,用途是禁止内核因为自身错误意外访问用户空间的数据,以避免一些内核漏洞所导致的安全隐患。
nosmep
禁用SMEP(Supervisor Mode Execution
Prevention)支持。SMEP与SMAP类似,也是Intel从Haswell微架构开始引入的一种新特征,用途是禁止内核因为自身错误意外执行
用户空间的代码。以避免一些内核漏洞所导致的安全隐患。
nordrand
即使CPU支持(CONFIG_ARCH_RANDOM),也禁止内核使用RDRAND指令(不过用户空间依然可以使用此指令)。由于很多人怀疑RDRAND指令所依赖的硬件随机数生成器所使用的加密标准(NIST SP800-90)被NSA植入了后门,所以提供了该选项以禁用它,不过大神Torvalds不以为然。
vsyscall={emulate|native|none}
控制vsyscall系统调用(调用固定的地址0xffffffffff600x00)的行为。大多数静态链接的可执行程序和