zabezpeceni kernelu

[Lizard]

Zdravim,

premyslel jsem trosku o uprave lin. kernelu a jeho zabezpeceni (mozna
trosku paranoidnejsiho). Kromne grsecu (a snad i jeho dobre
konfigurace) a capabilities mne napadlo jeste uplne z kernelu vykopat
ptrace (kvuli potencialni process injection). Vykopanim myslim editaci
zdrojaku kernelu.
Nebo to jde vypnout v grsecu? Hledal jsem to a nikde jsem v nastaveni
grsecu tuto featuru nenasel, ale mam dojem ze u starsich verzi to bylo
mozne.
Nasel jsem u capabilities jeste CAP_SYS_PTRACE... (nezda se ze by to
melo nejaky ucinek)

Napada vas jeste neco podobneho?
Muze byt vykopnuti ptrace necemu na skodu (no dobre no. na fileserveru
si nebudu debugovat procesy)?