Grsecurity/运行时配置

the sysctl 命令提供了一个接口，用于在运行时修改内核参数。grsecurity 内核配置中有一个选项可以启用对该接口的支持（参见 配置 grsecurity）。在 Linux 中，sysctl仅仅是一个围绕读取和写入 /proc 目录中文件内容的文件系统例程的包装器。这意味着您也可以通过将值回显到 /proc 中的文件来设置参数。有关 grsecurity 的所有可用 sysctl 选项列表，请参见 附录。

thesysctl命令接受一个 变量 或 变量=值 对列表，并设置或读取它们的值。变量是指向 /proc/sys 中的文件的路径，用句点或斜杠分隔。值取决于所讨论的参数。大多数 grsecurity 的选项要么是 1（启用）要么是 0（禁用）。

Sysctl's 手册页可以在线获取 http://linux.die.net/man/8/sysctl。

如果您想了解 grsecurity 的所有可用运行时选项，请列出 /proc/sys/kernel/grsecurity 的内容。

要在单个中启用挂载审计并禁用 chdir 审计sysctl命令，运行

# sysctl kernel.grsecurity.audit_mount=1 kernel.grsecurity.audit_chdir=0
kernel.grsecurity.audit_mount = 1
kernel.grsecurity.audit_chdir = 0

您可以通过回显来实现相同的结果

# echo 1 > /proc/sys/kernel/grsecurity/audit_mount
# echo 0 > /proc/sys/kernel/grsecurity/audit_chdir