Разрешено использование инструментов отладки:

• профилирование и трассировка perf;
• трассировка c использованием инструментов BPF;
• отладчик gdb;
• инструмент crash.

Запрещено использование инструментов отладки:

• адреса ядра полностью скрыты, что делает perf бесполезным для анализа ядра;
• инструменты, зависящие от символов ядра (например, декодирование трассировок), не могут интерпретировать данные;
• невозможно использование perf annotate для функций ядра;
• загрузка символов ядра (vmlinux) заблокирована;
• инструменты BPF trace и funccount не могут работать;
• инструмент crash не может разрешать адреса/

Непривилегированные пользователи с привилегией PARSEC_PERF_OWNER и администратор с высоким уровнем целостности могут использовать:

• точки трассировки ядра;
• BPF программы;
• perf

Работа непривилегированных пользователей ограничена:

• не работают инструменты perf stat, perf record;
• нельзя использовать kprobes;
• не работают инструменты htop, systemtap;
• контейнеры docker не могут собирать метрики производительности

Для непривилегированных пользователей разрешается hardening JIT компиляция BPF
BPF программы могут запускать непривилегированные пользователи с привилегией PARSEC_CAP_BPF_OWNER или администратор с высокой целостностью

• включается рандомизация памяти (адреса машинного кода JIT-компилированных программ случайным образом изменяются для усложнения эксплуатации уязвимостей);
• неиспользуемая память заполняется, чтобы избежать утечек информации;
• при использовании старых версий bpftrace и bcc-tools, BPF программы, зависящие от фиксированных адресов, перестанут работать.

Влияние на производительность:

• BPF программы работают медленнее;
• приложений, использующие BPF, требуют больше процессорных ресурсов;

• разрешается использование kexec-tools — прямое использование kexec в пространстве пользователя, позволяющее переключиться на лету на другое ядро (также можно указать ядро, в которое будет автоматически загружаться в случае сбоя (kernel panic) на текущем ядре);
• разрешается использование kdump-tools

Запрещает загрузку нового ядра через kexec_load()

Блокирует инициализацию механизма kexec на уровне ядра

При kernel.kexec_load_disabled=1

• Перестанет работать kdump, Makedumpfile, kexectools
• Перестанут работать инструменты для восстановления системы (например, crash)
• Перестанет работать live-патчинг ядра

• запрещается создание новых пространств имен (namespaces), что уменьшает поверхность атаки за счет невозможности создания изолированного пространства;
• нарушается работа контейнерной виртуализации и песочниц (sandboxing-инструментов);
• может нарушаться работа служб systemd с включенным DynamicUser;
• для непривилегированных пользователей может нарушаться работа сетевых инструментов, использующих сетевые пространства имен (network namespaces)

• запрещается любое принудительное изменение параметров памяти
• может быть нарушена работа docker$
• может быть нарушена работа tuned
• запрещается работа приложений, использующих vm.dirty_ratio для управления кешем
• могут замедлиться операции ввода-вывода
• в высоконагруженных средах виртуализации может в возникать нехватка оперативной памяти из-за невозможности настройки выделения виртуальных ресурсов (overcommit)