[ ]   Enable temporary caching of the last request_key() result
翻译:启用最后一个request_key（）结果的临时缓存
说明:

[ ]   Enable register of persistent per-UID keyrings
翻译:启用持久每uid密钥环的注册
说明:

< >   TRUSTED KEYS
翻译:
说明:"TRUSTED KEY"的意思是由TPM(可信赖平台模块)用RSA算法封装的一对随机数.开启此项后,内核将可以为创建/封装/解封"TRUSTED KEY"提供支持.如果引导PCR(平台配置寄存器)和各种条件都匹配,那么TPM只解封密钥.用户空间永远只能看到加密过后的二进制内容.不确定的选"N"

[ ]     TPM-based trusted keys
翻译:基于TPM的可信密钥
说明:"TRUSTED KEY"的意思是由TPM(可信赖平台模块)用RSA算法封装的一对随机数.开启此项后,内核将可以为创建/封装/解封"TRUSTED KEY"提供支持.如果引导PCR(平台配置寄存器)和各种条件都匹配,那么TPM只解封密钥.用户空间永远只能看到加密过后的二进制内容.不确定的选"N"

- -   ENCRYPTED KEYS
翻译:
说明:"ENCRYPTED KEY"的意思是由内核封装的一对随机数,该对随机数可以用一个"主密钥"使用对称加密算法进行加密和解密.开启此项后,内核将可以为创建/加密/解
密"ENCRYPTED KEY"提供支持."主密钥"既可以是"TRUSTED
KEY"也可以是"user-key"(用户选择的密钥).用户空间永远只能看到/存储加密过后的二进制内容.不确定的选"N"

[ ]     Allow encrypted keys with user decrypted data
翻译:允许使用用户解密的数据加密密钥
说明:

[ ]   Diffie-Hellman operations on retained keys
翻译:保留密钥上的diffie-hellman操作
说明:

[ ]   Provide key/keyring change notifications
翻译:提供密钥/密钥环更改通知
说明:

[ ] Restrict unprivileged access to the kernel syslog
翻译:
说明:禁止非特权用户访问内核日志(dmesg),相当于"echo 1 > /proc/sys/kernel/dmesg_restrict".不确定的选"N"

[ ] Enable different security models
翻译:
说明:允许内核选择不同的LSM(Linux安全模块),如果未选中则内核将使用默认的安全模块("Default security module").不确定的选"N"

- - Enable the securityfs filesystem
翻译:
说明:securityfs安全文件系统支持.当前仅被TPM bios字符设备驱动以及IMA(完整性提供者)使用.它与SELinux或SMACK之类没有关系.不确定的选"N"

[ ] Socket and Networking Security Hooks
翻译:
说明:允许安全模块通过Security Hook对Socket与Networking进行访问控制.不确定的选"N".

[ ] Infiniband Security Hooks
翻译:Infiniband安全挂钩
说明:

[ ] XFRM (IPSec) Networking Security Hooks
翻译:
说明:为XFRM(IPSec)启用安全Hook.这样安全模块可以通过这些hook,根据IPSec策略标签,实现针对每个网络包的访问控制.非IPSec通信
则被当做"无标签"处理,仅允许那些被明确批准可以不使用策略标签的socket才能不通过IPSec进行通信.不确定的选"N"

[ ] Security hooks for pathname based access control
翻译:
说明:此安全钩子程序可以让各种安全模块实现基于路径的访问控制.不确定的选"N"

[ ] Enable Intel(R) Trusted Execution Technology (Intel(R) TXT)
翻译:
说明:支持使用可信引导(Trusted Boot)技术引导内核(需要使用tboot模块).这将使用英特尔TXT(可信任执行技术)来引导内核.在不支持TXT的平台上开启此项没有效果.详见"Documentation/intel_txt.txt"文档.不确定的选"N"

(65536) Low address space for LSM to protect from user allocation
翻译:
说明:禁止用户空间分配的低位内存范围.禁止用户写入低位内存有助于降低内核NULL指针漏洞造成的破坏(参见CONFIG_DEFAULT_MMAP_MIN_ADDR选项).建议保持默认值"65536"

[ ] Harden memory copies between kernel and userspace
翻译:强化内核和用户空间之间的内存拷贝
说明:

[ ] Harden common str/mem functions against buffer overflows
翻译:针对缓冲区溢出强化公共str/mem函数
说明:

[ ] Force all usermode helper calls through a single binary
翻译:通过单个二进制文件强制所有用户模式助手调用
说明:

[ ] SELinux Support
翻译:
说明:安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。

SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。

SELinux 的结构及配置非常复杂，而且有大量概念性的东西，要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。

如果可以熟练掌握 SELinux 并正确运用，我觉得整个系统基本上可以到达"坚不可摧"的地步了（请永远记住没有绝对的安全）。

掌握 SELinux 的基本概念以及简单的配置方法是每个 Linux 系统管理员的必修课

[ ]   SELinux boot parameter
翻译:
说明:添加"selinux"内核引导参数.以允许在引导时使用'selinux=0'禁用SELinux或'selinux=1'启用SELinux

[ ]   SELinux Development Support
翻译:
说明:SELinux 开发支持.开启此项后,除非明确使用"enforcing=1"引导参数让内核以"强制模式"运行,否则内核将以"许可模式"运行(记录所有事件,同时允
许所有操作).主要用于测试SELinux以及策略开发.此外,开启此项后,还可以在运行时通过"/selinux/enforce"让内核在"强制模
式"与"许可模式"之间切换

[ ]   SELinux AVC Statistics
翻译:
说明:搜集访问向量缓存(access vector cache)的统计信息并在/selinux/avc/cache_stats中显示出来.这些信息可以用avcstat之类的工具查看

(9)   SELinux sidtab hashtable size
翻译:SELinux选项卡哈希表大小
说明:待确定作用

(256) SELinux SID to context string translation cache size
翻译:SELinux SID到上下文字符串转换缓存大小
说明:待确定作用

[ ]   SELinux kernel debugging support
翻译:
说明:开发调试时使用

[ ] Simplified Mandatory Access Control Kernel Support
翻译:
说明:Smack(简化的强制访问控制内核)内核安全模块.Smack是一种简单而有效的强制访问控制机制,它的简单体现在安全策略的配置很简单,它的有效体现在完全使用LSM作为其控制手段.不确定的选"N"

[ ] TOMOYO Linux Support
翻译:
说明:TOMOYO Linux是日本NTT数据公司开发的一种Linux安全模块.不确定的选"N".

[ ] AppArmor support
翻译:
说明:AppArmor(应用盔甲)是来自Novell的一种Linux安全模块.AppArmor使用文件路径来跟踪程序限制,是最容易配置的安全模块.不确定的选"N"

[ ] Pin load of kernel files (modules, fw, etc) to one filesystem
翻译:
说明:LoadPin是一个基于LSM架构，主要用于限制内核模块来源的安全模块。LoadPin是一个新的Linux安全模块，可确保内核加载的所有文件（内核模块，固件，kexec映像，安全策略）都来自同一文件系统，并期望这样的文件系统由只读设备支持。这旨在简化嵌入式系统（不需要复杂的签名机制），如果系统被配置为从只读设备引导，那么嵌入式系统不需要任何内核模块签名基础设施/检查。

[ ] Yama support
翻译:
说明:Yama(阎王)是3.4版内核新引入的一种Linux安全模块.不确定的选"N"

[ ] Gate setid transitions to limit CAP_SET{U/G}ID capabilities
翻译:
说明:Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作

[ ] Basic module for enforcing kernel lockdown
翻译:用于强制内核锁定的基本模块
说明:待确定作用

[ ]   Enable lockdown LSM early in init
翻译:在初始化早期启用锁定LSM
说明:Linux Secrity Module简称LSM，是Linux下的一个安全框架标准，为不同的linux安全模块提供统一标准的接口。为我们熟知的selinux就是基于LSM框架。本文结合linux 5.10源码，分析最新的LSM 框架原理。
LSM基本原理

LSM 在被合入到 Linux 之前，当时的访问控制机制还不足以提供强大的安全性，存在的一些增强的访问控制机制，由于缺少安全社区的共识而没有被合入到 Linux 中。Linux 是通用操作系统，需要满足不同需求，访问控制机制同样需要满足不同的访问控制机制。在这样的背景下，LSM 因运而生，满足轻量级、通用性和可集成不同的访问控制机制等特点，被合入到 Linux 中。

       Kernel default lockdown mode (None)  --->
翻译:
说明:经过多年以来的无数次审查、讨论和代码重写，Linus Torvalds 通过了一项 Linux 内核新的安全功能，它被称为 “锁定”（lockdown）。

这项新功能将作为 LSM（Linux Security Module，Linux 安全模块）包含在即将发布的 Linux kernel 5.4 中。由于存在破坏现有系统的风险，因此该功能是可选的，并非默认开启。

这一新的锁定功能主要是为了防止 root 帐户篡改内核代码，从而在用户态进程和代码之间划清界限。启用该功能后，即便是 root 帐户也无法访问某些内核功能，从而保护操作系统免受受损的 root 帐户影响。

Linus Torvalds 表示，启用锁定模块后，各种内核功能都会受到限制。其中包括对内核功能的访问限制；对 /dev/mem 的读写操作的阻止；对 CPU MSR 访问的限制；以及防止系统进入睡眠状态等等。

锁定功能支持两种不同模式，可用于激活不同级别的限制。“完整性”（integrity）模式将禁止用户修改正在运行的内核功能。另一种 “机密性”（confidentiality）模式则会禁止用户从内核中提取机密信息。

[ ] Landlock support
翻译:
说明:Landlock是一个在Linux内核中实现的安全模型，它允许进程在较低的特权级别下运行，并限制其对内核和系统资源的访问。它提供了一种细粒度的权限控制机制，可以用于创建沙盒环境和隔离敏感操作。

Landlock的实现基于eBPF（Extended Berkeley Packet Filter）技术，在Linux 5.15内核中引入了对Landlock的支持。它使用eBPF程序作为安全策略的表达方式，通过BPF虚拟机执行这些程序来进行权限控制。

[ ] Integrity subsystem
翻译:完整性子系统
说明:待确定作用

[ ]   Digital signature verification using multiple keyrings
翻译:
说明:允许使用多个密钥环(keyring)进行数字签名验证,也就允许为多个不同的使用场合(evm,ima,module)分别使用不同的keyring.看不懂的选"N"

[ ]     Enable asymmetric keys support
翻译:
说明:允许使用非对称密钥进行数字签名验证

- - Require all keys on the integrity keyrings be signedsigned
翻译:要求对完整性密钥环上的所有密钥进行签名
说明:待确定作用

[ ] Provide keyring for platform/firmware trusted keysd keys
翻译:为平台/固件可信密钥提供密钥环
说明:待确定作用

[ ] Provide a keyring to which Machine Owner Keys may be added added
翻译:提供一个钥匙圈，可以向其中添加机器所有者密钥
说明:待确定作用

- -   Enables integrity auditing support
翻译:
说明:添加"ima_audit"内核引导参数支持.当设为"ima_audit=1"时,将允许显示完整性审计信息

[ ]   Integrity Measurement Architecture(IMA)
翻译:
说明:IMA(完整性度量架构)是一个在TCG(可信计算工作组)技术规范之上提出的完整性检查技术.IMA维护着一个系统关键文件的哈希值列表,从而可以检测这些关键文件是否被篡改.如果系统上有TPM安全芯片,那么IMA还会在TPM芯片内存储哈希值的集合.这样的TPM芯片可以提供给第三方,用于检查系统上的关键文件是否被篡改.不确定的选"N"

[ ]     Enable carrying the IMA measurement list across a soft boot
翻译:允许通过软启动携带IMA测量列表
说明:

  Default template (ima-ng (default))  --->)  --->
翻译:
说明:待确定作用

  Default integrity hash algorithm (SHA256)  --->)  --->
翻译:
说明:待确定作用

[ ]     Enable multiple writes to the IMA policy
翻译:用对ima策略的多次写入
说明:待确定作用

[ ]     Enable reading back the current IMA policy
翻译:启用回读当前ima策略
说明:待确定作用

[ ]     Appraise integrity measurements
翻译:
说明:本地完整性鉴定支持.这样就可以在加载文件时检验它的完整性.这要求系统配置EVM支持.不确定的选"N"

[ ] Enable loading an IMA architecture specific policypolicy
翻译:启用加载ima体系结构特定的策略
说明:待确定作用

[ ] IMA build time configured policy rules rules
翻译:IMA构建时配置的策略规则
说明:待确定作用

[ ] ima_appraise boot parameterameter
翻译:ima_appraise启动参数参数
说明:待确定作用

[ ] Support module-style signatures for appraisalraisal
翻译:支持评估评估的模块式签名
说明:待确定作用

[ ]     Permit keys validly signed by a built-in or secondary CA cert (EXPERIMENTAL)
翻译:允许由内置或辅助CA证书有效签名的密钥
说明:待确定作用

[ ]     Create IMA machine owner blacklist keyrings (EXPERIMENTAL)
翻译:创建IMA机器所有者黑名单密钥环
说明:待确定作用

[ ]     Load X509 certificate onto the '.ima' trusted keyring
翻译:将X509证书加载到“.ima”受信任密钥环上
说明:待确定作用

[ ]     Disable htable to allow measurement of duplicate records
翻译:禁用htable以允许测量重复记录
说明:待确定作用

[ ]   EVM support
翻译:
说明:EVM通过保护文件的安全扩展属性来对抗完整性攻击.

[ ]     FSUUID (version 2)
翻译:
说明:待确定作用

[ ]     Add additional EVM extended attributes at runtime
翻译:
说明:在运行时添加额外的EVM扩展属性

[ ]     Load an X509 certificate onto the '.evm' trusted keyring
翻译:
说明:将X509证书加载到“.evm”受信任密钥环

     First legacy 'major LSM' to be initialized (SELinux)  --->
翻译:第一个要初始化的遗留“主要LSM”
说明:

(yama,loadpin,safesetid,integrity,selinux,smack,tomoyo,apparmor) Ordered list of enabled LSMs
翻译:已启用LSM的有序列表
说明:

     Kernel hardening options  --->
翻译:内核硬件选项
说明: