Linux 6.13.7

2025-03-15 23:05:51 +01:00
parent b0acb41b67
commit e729bd2903
10 changed files with 14010 additions and 17 deletions
--- a/2
+++ b/2
@@ -2,7 +2,7 @@
 # copied from Jan Alexander Steffens (heftig) <heftig@archlinux.org>
 pkgbase=linux-tom
-pkgver=6.13.6.arch1
+pkgver=6.13.7.arch1
 pkgrel=1
 pkgdesc='Linux'
 url='https://github.com/archlinux/linux'
--- a/4
+++ b/4
@@ -1,6 +1,6 @@
 #
 # Automatically generated file; DO NOT EDIT.
-# Linux/x86 6.13.6-arch1 Kernel Configuration
+# Linux/x86 6.13.7-arch1 Kernel Configuration
 #
 CONFIG_CC_VERSION_TEXT="gcc (GCC) 14.2.1 20250207"
 CONFIG_CC_IS_GCC=y
@@ -1134,7 +1134,7 @@ CONFIG_COREDUMP=y
 CONFIG_ZPOOL=y
 CONFIG_SWAP=y
 CONFIG_ZSWAP=y
-# CONFIG_ZSWAP_DEFAULT_ON is not set
+CONFIG_ZSWAP_DEFAULT_ON=y
 CONFIG_ZSWAP_SHRINKER_DEFAULT_ON=y
 # CONFIG_ZSWAP_COMPRESSOR_DEFAULT_DEFLATE is not set
 # CONFIG_ZSWAP_COMPRESSOR_DEFAULT_LZO is not set
--- a/config-6.13.7
+++ b/config-6.13.7
--- a/config-6.13.7.patch
+++ b/config-6.13.7.patch
--- a/documentation/linux_configuration.pdf
+++ b/documentation/linux_configuration.pdf
@@ -1,3 +1,3 @@
 version https://git-lfs.github.com/spec/v1
-oid sha256:e5b5a04985574bebba113f5c7f6abf3943b1c976cdb31ac409723820b6ec8391
+oid sha256:a3901809b987bd0ad1299494cc59eff0ecfb74dc339eeb01c989d437ace68cda
-size 216148
+size 265861
--- a/documentation/linux_configuration.tex
+++ b/documentation/linux_configuration.tex
@@ -9,7 +9,10 @@
 %  pacman -S hyphen hyphen-de
 %  pacman -S texlive-mathscience
-\includeonly{linux_configuration_17_security_options}
+\includeonly{
 	%linux_configuration_13_memory_management_options,
 	%linux_configuration_16_file_systems,
 	linux_configuration_17_security_options}
 \documentclass[10pt,a4paper]{article}
 %\documentclass[12pt,a4paper]{report}
@@ -128,8 +131,12 @@
 \makeatother
 \setcounter{secnumdepth}{9}% numbering down to paragraphs, subparagraphs
 %% Line numbers may be useful during collaboration and review, using \linenumbers
 \usepackage[left]{lineno}
 \begin{document}
 %0.x
 \linenumbers
 \section*{Linux Configuration \version}
 \subsection{Einführung}
 Dieses Dokument dient zur Beschreibung von diversen Ein\-stellungen
--- a/documentation/linux_configuration_13_memory_management_options.tex
+++ b/documentation/linux_configuration_13_memory_management_options.tex
@@ -15,12 +15,19 @@ werden, und versucht, sie in einem dynamisch zugewiesenen RAM-basierten Speicher
 kann zu einer erheblichen E/A-Reduzierung auf dem Swap-Gerät führen und in dem Fall, in dem die
 Dekomprimierung aus dem RAM schneller ist als das Lesen aus dem Swap-Gerät, auch die Arbeitslastleistung
 verbessern.
 \english{A lightweight compressed cache for swap pages.
 It takes pages that are in the process of being swapped out and attempts to
 compress them into a dynamically allocated RAM-based memory pool.
 This can result in a significant I/O reduction on swap device and, in the case where decompressing from RAM is faster than swap device reads,
 can also improve workload performance.}
 \paragraph{Enable the compressed cache for swap pages by default}$~$\\
 CONFIG\_ZSWAP\_DEFAULT\_ON [=y] \textbf{[Y]}\\
 Wenn diese Option ausgewählt ist, wird der komprimierte Cache für Auslagerungsseiten beim Booten aktiviert,
 andernfalls wird er deaktiviert. Die hier getroffene Auswahl kann mit der Kernel-Kommando\-zei\-len\-option
 \texttt{zswap.enabled=} überschrieben werden.
 \english{If selected, the compressed cache for swap pages will be enabled at boot, otherwise it will be disabled.
 The selection made here can be overridden by using the kernel command line `zswap.enabled=' option.}
 \paragraph{Invalidate zswap entries when pages are loaded}$~$\\
 CONFIG\_ZSWAP\_EXCLUSIVE\_LOADS\_DEFAULT\_ON [=n] \textbf{[N]}\\
--- a/documentation/linux_configuration_15_device_drivers.tex
+++ b/documentation/linux_configuration_15_device_drivers.tex
@@ -3467,11 +3467,11 @@ die im Chipsatz der Intel(R) C600"=Serie enthalten ist.
 \paragraph{IBM ServeRAID support}$~$\\
 CONFIG\_SCSI\_IPS [=m] \textbf{[M]}\\*
 Dies ist eine Unterstützung für die IBM ServeRAID Hardware"=RAID"=Controller.\\
-Siehe \url{http://www.developer.ibm.com/welcome/netfinity/serveraid.html} und
+Siehe \url{http://www.developer.ibm.com/welcome/netfinity/serveraid.html} und für weitere Infos:\\
-\url{http://www-947.ibm.com/support/entry/portal/docdisplay?brand=5000008&lndocid=SERV}
+\url{http://www-947.ibm.com/support/entry/portal/docdisplay?brand=5000008&lndocid=SERV}.
-für wei\-tere Informationen. Wenn dieser Treiber ohne Modifikation nicht korrekt funktioniert, kontaktieren
+Wenn dieser Treiber ohne Modifikation nicht korrekt funktioniert, kontaktieren
 Sie bitte den Autor per E-Mail an $<$ipslinux@adaptec.com$>$.
-Um diesen Treiber als Modul zu kompilieren, wählen Sie hier M: Das Modul wird \texttt{ips} genannt.
+Um diesen Treiber als Modul zu kompilieren, wäh\-len Sie hier M: Das Modul wird \texttt{ips} genannt.
 \paragraph{Initio 9100U(W) support}$~$\\
 CONFIG\_SCSI\_INITIO [=m] \textbf{[M]}\\*
--- a/documentation/linux_configuration_16_file_systems.tex
+++ b/documentation/linux_configuration_16_file_systems.tex
@@ -676,7 +676,7 @@ NILFS2 erstellt alle paar Sekunden oder bei jedem synchronen Schreib\-vorgang ei
 Die Benutzer können wichtige Versionen unter den kontinuierlich erstellten Prüfpunkten auswählen und sie
 in Snapshots umwandeln, die über lange Zeiträume aufbewahrt werden, bis sie wieder in Prüfpunkte
 umgewandelt werden.
-Jeder Snapschot kann gleichzeitig mit seinem beschreibbaren Mount als Nur-Lese-Dateisystem eingehängt
+Jeder Snapshot kann gleichzeitig mit seinem beschreibbaren Mount als Nur-Lese-Dateisystem eingehängt
 werden. Diese Funktion ist für die Online-Sicherung praktisch.\\
 Einige Funktionen, darunter atime, erweiterte Attribute und POSIX ACLs, werden noch nicht unterstützt.\\
 Um diese Dateisystemunterstützung als Modul zu kompilieren, wählen Sie hier M: Das Modul wird \texttt{nilfs2} heißen.
@@ -910,7 +910,7 @@ Wenn Sie unsicher sind, sagen Sie N.
 If unsure, say N.}
 %16.18
-\subsection{File system based Direct Sccess (DAX) support}
+\subsection{File system based Direct Access (DAX) support}
 CONFIG\_FS\_DAX [=y] \textbf{[Y]}\\
 Direct Access (DAX) kann auf speicherunterstützten Blockgeräten verwendet werden.
 Wenn das Blockgerät DAX unterstützt und das Dateisystem DAX unterstützt, können Sie die Verwendung des Pagecache zur Pufferung von E/As vermeiden.
@@ -2112,7 +2112,7 @@ For more information about EFS see its home page at \url{http://aeschi.ch.eu.org
 To compile the EFS file system support as a module, choose M here:
 the module will be called \texttt{efs}.}
-\subsubsection{Journalling Flash File System v2 (JFFS2)}
+\subsubsection{Journalling Flash File System v2 (JFFS2)}% Journalling vs Journaling, britische Schreibweise mit ll
 CONFIG\_JFFS2\_FS \colorbox{yellow!80}{[=m] \textbf{[N]}}\\
 JFFS2 ist die zweite Generation des Journalling Flash File System für den Einsatz auf plattenlosen Embedded-Geräten.
 Es bietet einen verbesserten Verschleißausgleich, Kompression und Unterstützung für Hardlinks.
--- a/documentation/linux_configuration_17_security_options.tex
+++ b/documentation/linux_configuration_17_security_options.tex
@@ -24,7 +24,7 @@ Diese Option bewirkt, dass das Ergebnis des letzten erfolgreichen request\_key()
 Der Zwischenspeicher wird beim Beenden und kurz vor der Wiederaufnahme des Userspace geleert.\\
 Dies ermöglicht die Verwendung des Schlüssels bei mehrstufigen Prozessen, bei denen jeder Schritt einen Schlüssel anfordert, der wahrscheinlich derselbe ist wie der vom letzten Schritt angeforderte, um die Suche zu sparen.\\
 Ein Beispiel für einen solchen Prozess ist ein Pathwalk durch ein Netzwerkdateisystem, bei dem jede Methode einen Authentifizierungsschlüssel anfordern muss.
-Pathwalk ruft mehrere Methoden für jede durchquerte Dentry auf (permission, d\_revalidate, lookup, getxattr, getacl, \dots).
+Pathwalk ruft mehrere Methoden für jedes durchquerte Gebiet auf (permission, d\_revalidate, lookup, getxattr, getacl, \dots).
 \english{This option causes the result of the last successful request\_key() call that didn't upcall to the kernel to be cached temporarily in the task\_struct.
 The cache is cleared by exit and just prior to the resumption of userspace.\\
 This allows the key used for multiple step processes where each step wants to request a key that is likely the same as the one requested by the last step to save on the searching.\\
@@ -229,6 +229,7 @@ For most ia64, ppc64 and x86 users with lots of address space a value of 65536 i
 On arm and other archs it should not be higher than 32768.
 Programs which use vm86 functionality or have some need to map this low address space will need the permission specific to the systems running LSM.}
 %17.12
 \subsection{Harden memory copies between kernel and userspace}
 CONFIG\_HARDENED\_USERCOPY [=y] \textbf{[Y]}\\
 Diese Option prüft beim Kopieren von Speicher in den Kernel oder aus dem Kernel (über die Funktionen \texttt{copy\_to\_user()} und \texttt{copy\_from\_user()})
@@ -240,12 +241,14 @@ Dies verhindert ganze Klassen von Heap-Overflow-Exploits und ähnliche Kernel-Sp
 by rejecting memory ranges that are larger than the specified heap object, span multiple separately allocated pages, are not on the process stack, or are part of the kernel text.
 This prevents entire classes of heap overflow exploits and similar kernel memory exposures.}
 %17.13
 \subsection{Harden common str/mem functions against buffer overflows}
 CONFIG\_FORTIFY\_SOURCE [=y] \textbf{[Y]}\\
 Erkennung von Pufferüberläufen in gängigen String- und Speicherfunktionen,
 bei denen der Compiler die Puffergrößen ermitteln und validieren kann.
 \english{Detect overflows of buffers in common string and memory functions where the compiler can determine and validate the buffer sizes.}
 %17.14
 \subsection{Force all usermode helper calls through a single binary}
 CONFIG\_STATIC\_USERMODEHELPER [=n] \textbf{[N]}\\
 Standardmäßig kann der Kernel viele verschiedene Userspace-Binärprogramme über die \glqq usermode helper\grqq{} Kernelschnittstelle aufrufen.
@@ -264,6 +267,7 @@ If desired, this program can filter and pick and choose what real programs are c
 If you wish for all usermode helper programs are to be disabled, choose this option and then set STATIC\_USERMODEHELPER\_PATH 
 to an empty string.}
 %17.15
 \subsection{SELinux Support}
 CONFIG\_SECURITY\_SELINUX [=y] \textbf{[Y]}\\
 Damit wird Security-Enhanced Linux (SELinux) ausgewählt.
@@ -298,6 +302,198 @@ You can interactively toggle the kernel between enforcing mode and permissive mo
 \subsubsection{SELinux AVC Statistics}
 CONFIG\_SECURITY\_SELINUX\_AVC\_STATS [=y] \textbf{[Y]}\\
-Diese Option sammelt Zugriffsvektor-Cache-Statistiken in /sys/fs/selinux/avc/cache_stats, die mit Tools wie avcstat überwacht werden können.
+Diese Option sammelt Zugriffsvektor-Cache-Statistiken in /sys/fs/selinux/avc/cache\_stats, die mit Tools wie \texttt{avcstat}
-\english{This option collects access vector cache statistics to /sys/fs/selinux/avc/cache_stats, which may be monitored via tools
+überwacht werden können.
-such as avcstat.}
+\english{This option collects access vector cache statistics to /sys/fs/selinux/avc/cache\_stats, which may be monitored via tools
 such as avcstat.}
 \subsubsection{SELinux sidtab hashtable size}
 CONFIG\_SECURITY\_SELINUX\_SIDTAB\_HASH\_BITS [=9] \textbf{[9]}\\
 Diese Option setzt die Anzahl der in der Sidtab-Hashtabelle verwendeten Buckets auf\\
 2\^{}SECURITY\_SELINUX\_SIDTAB\_HASH\_BITS Buckets.
 Die Anzahl der Hash-Kollisionen kann unter /sys/fs/selinux/ss/sidtab\_hash\_stats eingesehen werden.
 Wenn die Kettenlängen hoch sind (z.\,B. $> 20$), wird ein höherer Wert hier sicherstellen, dass die Suchzeiten kurz und stabil sind.
 \english{This option sets the number of buckets used in the sidtab hashtable to\\
 2\^{}SECURITY\_SELINUX\_SIDTAB\_HASH\_BITS buckets.
 The number of hash collisions may be viewed at /sys/fs/selinux/ss/sidtab\_hash\_stats.
 If chain lengths are high (e.g. $> 20$) then selecting a higher value here will ensure that lookups times are short and stable.}
 \subsubsection{SELinux SID to context string translation cache size}
 CONFIG\_SECURITY\_SELINUX\_SID2STR\_CACHE\_SIZE [=256] \textbf{[256]}\\
 Diese Option definiert die Größe des internen SID $\rightarrow$ Kontext-String-Cache,
 der die Leistung der Kontext-zu-String-Konvertierung verbessert.
 Wenn Sie diese Option auf 0 setzen, wird der Cache vollständig deaktiviert.
 Wenn Sie unsicher sind, behalten Sie den Standardwert bei.
 \english{This option defines the size of the internal SID $\rightarrow$ context string cache, which improves
 the performance of context to string conversion.
 Setting this option to 0 disables the cache completely.
 If unsure, keep the default value.}
 \subsubsection{SELinux kernel debugging support}
 CONFIG\_SECURITY\_SELINUX\_DEBUG [=n] \textbf{[N]}\\
 Dies aktiviert Debugging-Code, der SELinux-Kernel-Entwicklern helfen soll.
 Wenn Sie nicht wissen, was dies im Kernel-Code bewirkt, sollten Sie dies deaktiviert lassen.\\
 Um die auszugebenden Meldungen fein zu steuern, aktivieren Sie CONFIG\_DYNAMIC\_DEBUG und lesen Sie
 Documentation/admin-guide/dynamic-debug-howto.rst für weitere Informationen.\\
 Beispiel für die Verwendung:
 \begin{verbatim}
      echo -n 'file "security/selinux/*" +p' > \
              /proc/dynamic_debug/control
 \end{verbatim}
 $~$
 \english{This enables debugging code designed to help SELinux kernel developers,
 unless you know what this does in the kernel code you should leave this disabled.\\
 To fine control the messages to be printed enable CONFIG\_DYNAMIC\_DEBUG and see Documentation/admin-guide/dynamic-debug-howto.rst
 for additional information.\\
 Example usage:\\
 \indent \qquad echo -n 'file "security/selinux/*" +p' $>$ $ \backslash $ \\
 \indent \qquad \qquad /proc/dynamic\_debug/control}
 %17.16
 \subsection{Simplified Mandatory Access Control Kernel Support}
 CONFIG\_SECURITY\_SMACK [=y] \textbf{[Y]}\\
 Damit wird der Simplified Mandatory Access Control Kernel ausgewählt.
 Smack ist nützlich für Sensitivität, Integrität und eine Vielzahl anderer obligatorischer Sicherheitsverfahren.
 Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie mit N.
 \english{This selects the Simplified Mandatory Access Control Kernel.
 Smack is useful for sensitivity, integrity, and a variety of other mandatory security schemes.
 If you are unsure how to answer this question, answer N.}
 \subsubsection{Reporting on access granted by Smack rules}
 CONFIG\_SECURITY\_SMACK\_BRINGUP [=y] \textbf{[Y]}\\
 Aktivieren Sie in Smack-Regeln den Zugriffsmodus \texttt{bring-up} (\glqq b\grqq{}).
 Wenn der Zugriff durch eine Regel mit dem \glqq b\grqq{}-Modus gewährt wird, wird eine Nachricht über den
 angeforderten Zugriff erzeugt.
 Die Absicht ist, dass einem Prozess eine breite Palette von Zugriffen gewährt werden kann,
 wenn der Bringup-Modus in den Regeln eingestellt ist.
 Der Entwickler kann die Informationen nutzen, um festzustellen, welche Regeln notwendig sind und
 welche Zugriffe unangemessen sein könnten.
 Der Entwickler kann den Zugriffsregelsatz reduzieren, sobald er das Verhalten gut verstanden hat.
 Dies ist ein besserer Mechanismus als der oft missbrauchte \glqq permissive\grqq{} Modus anderer Systeme.\\
 Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie mit N.
 \english{Enable the bring-up (``b'') access mode in Smack rules.
 When access is granted by a rule with the ``b'' mode a message about the access requested is generated.
 The intention is that a process can be granted a wide set of access initially with the bringup mode set on the rules.
 The developer can use the information to identify which rules are necessary and what accesses may be inappropriate.
 The developer can reduce the access rule set once the behavior is well understood.
 This is a superior mechanism to the oft abused ``permissive'' mode of other systems.\\
 If you are unsure how to answer this question, answer N.}
 \subsubsection{Packet marking using secmarks for netfilter}
 CONFIG\_SECURITY\_SMACK\_NETFILTER [=y] \textbf{[Y]}\\
 Dies ermöglicht die Sicherheitsmarkierung von Netzwerkpaketen mit Smack- Labels.\\
 Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie mit N.
 \english{This enables security marking of network packets using Smack labels.
 If you are unsure how to answer this question, answer N.}
 \subsubsection{Treat delivering signals as an append operation}
 CONFIG\_SECURITY\_SMACK\_APPEND\_SIGNALS [=y] \textbf{[Y]}\\
 Das Senden eines Signals wurde bisher als Schreibvorgang für den empfangenden Prozess behandelt.
 Wenn diese Option aktiviert ist, wird die Zustellung stattdessen als Anfügevorgang behandelt.
 Dadurch ist es möglich, in den Smack-Regeln zwischen der Zustellung eines Netzwerkpakets und der Zustellung eines Signals zu unterscheiden.\\
 Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie mit N.
 \english{Sending a signal has been treated as a write operation to the receiving process.
 If this option is selected, the delivery will be an append operation instead.
 This makes it possible to differentiate between delivering a network packet and delivering a signal in the Smack rules.\\
 If you are unsure how to answer this question, answer N.}
 %17.17
 \subsection{TOMOYO Linux Support}
 CONFIG\_SECURITY\_TOMOYO [=y] \textbf{[Y]}\\
 Dies wählt TOMOYO Linux, eine auf Pfadnamen basierende Zugriffskontrolle.
 Erforderliche Userspace-Tools und weitere Informationen finden Sie unter \url{https://tomoyo.sourceforge.net/}.\\
 Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie mit N.
 \english{This selects TOMOYO Linux, pathname-based access control.
 Required userspace tools and further information may be found at \url{https://tomoyo.sourceforge.net/}.\\
 If you are unsure how to answer this question, answer N.}
 \subsubsection{Default maximal count for learning mode}
 CONFIG\_SECURITY\_TOMOYO\_MAX\_ACCEPT\_ENTRY [=2048] \textbf{[2048]}\\
 Dies ist der Standardwert für maximale ACL-Einträge, die im \glqq{}Lernmodus\grqq{} automatisch an die Richtlinie angehängt werden.
 Einige Programme greifen auf Tausende von Objekten zu, so dass das Ausführen solcher Programme im \glqq Lernmodus\grqq{}
 die Systemreaktion dämpft und viel Speicher verbraucht.\\
 Dies ist der Schutz für solche Programme.
 \english{This is the default value for maximal ACL entries that are automatically appended into policy at ``learning mode''.
 Some programs access thousands of objects, so running such programs in ``learning mode'' dulls the system response and consumes much memory.\\
 This is the safeguard for such programs.}
 \subsubsection{Default maximal count for audit log}
 CONFIG\_SECURITY\_TOMOYO\_MAX\_AUDIT\_LOG [=1024] \textbf{[1024]}\\
 Dies ist der Standardwert für die maximalen Einträge für Audit-Protokolle, die der Kernel im Speicher halten kann.
 Sie können das Protokoll über \texttt{/sys/kernel/security/tomoyo/audit} lesen.
 Wenn Sie keine Audit-Protokolle benötigen, können Sie diesen Wert auf 0 setzen.
 \english{This is the default value for maximal entries for audit logs that the kernel can hold on memory.
 You can read the log via /sys/kernel/security/tomoyo/audit.
 If you don't need audit logs, you may set this value to 0.}
 \subsubsection{Activate without calling userspace policy loader}
 CONFIG\_SECURITY\_TOMOYO\_OMIT\_USERSPACE\_LOADER [=n] \textbf{[N]}\\
 Geben Sie hier Y an, wenn Sie die Zugriffskontrolle aktivieren möchten, sobald die integrierte Richtlinie geladen wurde.
 Diese Option ist nützlich für Systeme, bei denen vor dem Laden der Richtlinie Operationen erforderlich sind,
 die zu einer Umgehung der Boot-Sequenz führen können.
 Zum Beispiel können Sie die Zugriffskontrolle sofort nach dem Laden des festen Teils der Richtlinie aktivieren,
 was nur Operationen zulässt, die für das Mounten einer Partition, die den variablen Teil der Richtlinie enthält,
 sowie für die Überprüfung (z.\,B. GPG-Check) und das Laden des variablen Teils der Richtlinie erforderlich sind.
 Da Sie den Erzwingungsmodus von Anfang an verwenden können, können Sie die Möglichkeit der Entführung der Boot-Sequenz verringern.
 \english{Say Y here if you want to activate access control as soon as built-in policy was loaded.
 This option will be useful for systems where operations which can lead to the hijacking of the boot sequence are needed before loading the policy.
 For example, you can activate immediately after loading the fixed part of policy which will allow only operations needed for mounting a partition
 which contains the variant part of policy and verifying (e.g. running GPG check) and loading the variant part of policy.
 Since you can start using enforcing mode from the beginning, you can reduce the possibility of hijacking the boot sequence.}
 \paragraph{Location of userspace policy loader}$~$\\
 CONFIG\_SECURITY\_TOMOYO\_POLICY\_LOADER [=/usr/bin/tomoyo-init] \textbf{[/usr/bin/tomoyo-init]}\\
 Dies ist der Standard-Pfadname des Policy Loaders, der vor der Aktivierung aufgerufen wird.
 Sie können diese Einstellung mit der Kernel-Befehlszeilenoption \texttt{TOMOYO\_loader=} außer Kraft setzen.
 \english{This is the default pathname of policy loader which is called before activation.
 You can override this setting via TOMOYO\_loader= kernel command line option.}
 \paragraph{Trigger for calling userspace policy loader}$~$\\
 CONFIG\_SECURITY\_TOMOYO\_ACTIVATION\_TRIGGER [=/usr/lib/systemd/systemd]\\
 \indent \textbf{[/usr/lib/systemd/systemd]}\\
 Dies ist der Standard-Pfadname des Aktivierungsauslösers.
 Sie können diese Einstellung mit der Kernel-Befehlszeilenoption \texttt{TOMOYO\_trigger=} außer Kraft setzen.
 Wenn Sie zum Beispiel die Option\\ \texttt{init=/bin/systemd} übergeben, sollten Sie auch die Option
 \texttt{TOMOYO\_trigger=/bin/systemd} übergeben.
 \english{This is the default pathname of activation trigger.
 You can override this setting via TOMOYO\_trigger= kernel command line option.
 For example, if you pass init=/bin/systemd option, you may want to also pass TOMOYO\_trigger=/bin/systemd option.}
 \subsubsection{Use insecure built-in settings for fuzzing tests.}
 CONFIG\_SECURITY\_TOMOYO\_INSECURE\_BUILTIN\_SETTING [=n] \textbf{[N]}\\
 Das Aktivieren dieser Option erzwingt minimale eingebaute Richtlinien und deaktiviert Domain-/Pro\-gramm\-prüfungen für
 Änderungen der Richtlinien zur Laufzeit.
 Bitte aktivieren Sie diese Option nur, wenn dieser Kernel für Fuzzing-Tests gebaut wird.
 \english{Enabling this option forces minimal built-in policy and disables domain/program checks for run-time policy modifications.
 Please enable this option only if this kernel is built for doing fuzzing tests.}
 %17.18
 \subsection{AppArmor support}
 CONFIG\_SECURITY\_APPARMOR [=y] \textbf{[Y]}\\
 Dadurch wird das AppArmor-Sicherheitsmodul aktiviert.
 Erforderliche Userspace-Tools (falls sie nicht in Ihrer Distribution enthalten sind) und weitere Informationen finden
 Sie unter \url{http://apparmor.wiki.kernel.org}\
 Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie mit N.
 \english{This enables the AppArmor security module.
 Required userspace tools (if they are not included in your distribution) and further information may be found at \url{http://apparmor.wiki.kernel.org}\\
 If you are unsure how to answer this question, answer N.}
 \subsubsection{Build AppArmor with debug code}
 CONFIG\_SECURITY\_APPARMOR\_DEBUG [=n] \textbf{[N]}\\
 Bauen Sie \texttt{apparmor} mit Debugging-Logik in apparmor. Es wird nicht unbedingt die gesamte Debugging-Logik aktiviert sein.
 Ein Untermenü bietet eine feinkörnige Steuerung der verfügbaren Debug-Optionen.
 \english{Build apparmor with debugging logic in apparmor. Not all debugging logic will necessarily be enabled.
 A submenu will provide fine grained control of the debug options that are available.}
 \subsubsection{Allow loaded policy to be introspected}
 CONFIG\_SECURITY\_APPARMOR\_INTROSPECT\_POLICY [=y] \textbf{[Y]}\\
 Diese Option wählt aus, ob die Einsicht (Introspektion) der geladenen Richtlinien dem Userspace über das \texttt{apparmor}-Dateisystem
 zur Verfügung steht.
 Dies erhöht den Speicherverbrauch des Kernels.
 Sie ist für die Introspektion geladener Richtlinien sowie für die Unterstützung von Prüfpunkten und Wiederherstellung erforderlich.
 Sie kann für eingebettete Systeme deaktiviert werden, bei denen die Verringerung des Arbeitsspeichers und der Rechenleistung von größter Bedeutung ist.
 \english{This option selects whether introspection of loaded policy is available to userspace via the apparmor filesystem.
 This adds to kernel memory usage.
 It is required for introspection of loaded policy, and check point and restore support.
 It can be disabled for embedded systems where reducing memory and cpu is paramount.}