n  T – процесс не сможет выполнить никакой троянский код;

n  o – отменяет ACL-наследование.

Объект поддерживает следующие режимы:

n  r – объект может быть открыт для чтения;

n  w – объект может быть открыт для записи;

n  x – объект может быть выполнен (executed);

n  a – объект может быть открыт для добавления;

n  h – объект скрыт (к нему нельзя получить доступ);

n  s – при запрете доступа к этому объекту в логи не будет идти информация;

n  i – применяется только к бинарным файлам. Когда объект выполняется, он наследует ACL субъекта, в который входит;

n  l – режим обучения, поддерживается только для бинарных файлов;

n  R – аудит успешного чтения объекта;

n  W – аудит успешной записи в объект;

n  X – аудит успешного исполнения объекта;

n  A – аудит успешного добавления в объект;

n  F – аудит успешного поиска объекта;

n  I – аудит успешного наследования объекта;

n  m – разрешить создавать и модифицировать setuid/setgid файлы и каталоги;

n  M – аудит успешного создания и модификации setuid/setgid файлов и каталогов;

n  с – позволить создание файлов и каталогов;

n  С – аудит успешного создания файлов и каталогов;

n  d – разрешить удаление файлов и каталогов;

n  D – аудит успешного удаления файлов и каталогов;

n  p – сбросить все ptrace.

Помимо доступа к файлам и каталогам процессу иногда необходимы специальные права на смену владельца, конфигурирование сетевых интерфейсов и т. д. Эти права реализованы в виде так называемых способностей или свойств (capability). В ACL они предваряются знаками «+» и «-», соответственно знак «+» разрешает использование данной «способности», знак «-» запрещает.

Ниже приведены несколько наиболее интересных и часто используемых «способностей», полный список можно найти в официальной документации.

n  CAP_ALL – используется как заглушка для запрета или разрешения всех capability.

n  CAP_CHOWN – в системе с установленной опцией [_POSIX_CHOWN_RESTRICTED_] эта «способность» разрешает процессу изменять владельца.

n  CAP_SETGID – разрешает выполнение функций setgid, setgoups.

n  CAP_SETUID – разрешает выполнение функции setuid.

n  CAP_NET_BIND_SERVICE – разрешает привязку на TCP/IP-сокет ниже 1024, привязку к ATM VCIs ниже 32.

n  CAP_NET_ADMIN – разрешает:

n  конфигурирование интерфейсов;