Whonix

Jump to: navigation, search

Dev/Grsecurity

< Dev

This page is for keeping track of paxd.conf. By diffing updated versions with the archived one here maintainers can easily see what new entries have been added. 

# This file contains a list of exceptions to be applied by paxd. Empty lines
# are ignored and comments can be written by starting a line with `#`. The
# format of other lines is `flags /path/to/executable`.
#
# Exceptions will be applied on start-up and then again as-needed when the
# configuration file or the executables are replaced.
#
# A lowercase letter disables a feature, and an uppercase letter enables it.
#
# The following features are available:
#
# * P(AGEEXEC) <https://pax.grsecurity.net/docs/pageexec.txt>
# * E(MUTRAMP) <https://pax.grsecurity.net/docs/emutramp.txt>
# * M(PROTECT) <https://pax.grsecurity.net/docs/mprotect.txt>
# * R(ANDMMAP) <https://pax.grsecurity.net/docs/randmmap.txt>
# * S(EGMEXEC) <https://pax.grsecurity.net/docs/segmexec.txt>
#
# The default flags are `PeMRs` with softmode=0 and `pemrs` with softmode=1.
#
# An exception without an explicit EMUTRAMP flag will enable EMUTRAMP, so most
# rules should include `e`.

em  /opt/brackets/Brackets
em  /opt/dropbox/dropbox
em  /opt/LightTable/ltbin
em  /opt/mendeleydesktop/lib/mendeleydesktop/libexec/mendeleydesktop.x86_64
em  /opt/mendeleydesktop/lib/mendeleydesktop/libexec/mendeleydesktop.i486
em  /opt/SpiderOak/lib/SpiderOak
em  /opt/telegram/Telegram
em  /opt/urbanterror/urbanterror
em  /opt/visual-studio-code/Code
em  /opt/VSCode/Code
em  /usr/bin/avogadro
em  /usr/bin/blender
em  /usr/bin/btsync
em  /usr/bin/cabal
em  /usr/bin/copyq
em  /usr/bin/cutegram
em  /usr/bin/dolphin-emu
em  /usr/bin/dosbox
em  /usr/bin/gendesk
em  /usr/bin/ghb
em  /usr/bin/glxdemo
em  /usr/bin/glxgears
em  /usr/bin/glxinfo
em  /usr/bin/glxspheres
em  /usr/bin/gnucash
em  /usr/bin/goldendict
em  /usr/bin/HandBrakeCLI
em  /usr/bin/hhvm
em  /usr/bin/inkscape
em  /usr/bin/konstruktor
em  /usr/bin/liferea
em  /usr/bin/lli
em  /usr/bin/love
em  /usr/bin/love08
emr /usr/bin/luajit
E   /usr/bin/make
em  /usr/bin/minitube
em  /usr/bin/mono
em  /usr/bin/mono-sgen
em  /usr/bin/mplayer
em  /usr/bin/mumble
em  /usr/bin/node
em  /usr/bin/nvim
em  /usr/bin/obex-data-server
em  /usr/bin/quassel
em  /usr/bin/quasselcore
em  /usr/bin/racket
emr /usr/bin/sbcl
em  /usr/bin/scheme
em  /usr/bin/sddm-greeter
em  /usr/bin/sigil
em  /usr/bin/smplayer
em  /usr/bin/spicec
em  /usr/bin/stellarium
em  /usr/bin/systemsettings
em  /usr/bin/tcc
em  /usr/bin/texmaker
em  /usr/bin/texstudio
em  /usr/bin/trojita
em  /usr/bin/vbetool
em  /usr/bin/vim
em  /usr/bin/vlc
emr /usr/lib/couchdb/bin/couchjs
em  /usr/lib/kodi/kodi.bin
em  /usr/lib/libreoffice/program/soffice.bin
em  /usr/lib/racket/gracket
em  /usr/share/atom/atom
em  /usr/share/atom/resources/app/apm/bin/node

# GCC (precompiled headers)
er /usr/lib/gcc/i686-pc-linux-gnu/5.3.0/cc1
er /usr/lib/gcc/i686-pc-linux-gnu/5.3.0/cc1plus
er /usr/lib/gcc/x86_64-unknown-linux-gnu/5.3.0/cc1
er /usr/lib/gcc/x86_64-unknown-linux-gnu/5.3.0/cc1plus

# Popcorn Time
em /opt/popcorntime-bin/Popcorn-Time
em /usr/lib/popcorntime/Popcorn-Time

# p11-kit (libffi)
E /usr/bin/p11-kit
E /usr/bin/trust

# p7zip
em /usr/lib/p7zip/7z
em /usr/lib/p7zip/7zFM
em /usr/lib/p7zip/7zG
em /usr/lib/p7zip/7za
em /usr/lib/p7zip/7zr

# clamav
em /usr/bin/clamd
em /usr/bin/clamscan
em /usr/bin/freshclam

# cinnamon/gnome/gtk (mostly caused by gjs and webkitgtk)
em  /usr/bin/cheese
em  /usr/bin/cinnamon
emr /usr/bin/cjs-console
em  /usr/bin/empathy
em  /usr/bin/empathy-accounts
em  /usr/bin/gdk-pixbuf-query-loaders
em  /usr/bin/gdk-pixbuf-query-loaders-32
em  /usr/bin/geary
em  /usr/bin/gitg
em  /usr/bin/gjs-console
em  /usr/bin/gnome-control-center
em  /usr/bin/gnome-maps
em  /usr/bin/gnome-shell
em  /usr/bin/gnome-shell-extension-prefs
em  /usr/bin/gnome-web-photo
em  /usr/bin/gtk-query-immodules-2.0
em  /usr/bin/gtk-query-immodules-2.0-32
em  /usr/bin/gtk-query-immodules-3.0
em  /usr/bin/gtk-query-immodules-3.0-32
em  /usr/bin/seahorse
em  /usr/bin/seed
em  /usr/bin/yelp
em  /usr/lib/empathy/empathy-auth-client
em  /usr/lib/empathy/empathy-call
em  /usr/lib/empathy/empathy-chat
em  /usr/lib/gstreamer-1.0/gst-plugin-scanner
emr /usr/lib/nemo-preview/nemo-preview-start
em  /usr/lib/sushi/sushi-start
em  /usr/lib/webkit2gtk-4.0/WebKitWebProcess
em  /usr/lib/webkitgtk/WebKitWebProcess

# grub
emr /usr/bin/grub-bios-setup
em  /usr/bin/grub-probe
er  /usr/bin/grub-script-check

# python
em /usr/bin/python2
em /usr/bin/python3
em /opt/pypy/bin/pypy-c
em /opt/pypy3/bin/pypy-c

# Java 6
em /usr/lib/jvm/java-6-openjdk/bin/java
em /usr/lib/jvm/java-6-openjdk/bin/javac
em /usr/lib/jvm/java-6-openjdk/jre/bin/java

# Java 7 JRE
em /usr/lib/jvm/java-7-openjdk/jre/bin/java
em /usr/lib/jvm/java-7-openjdk/jre/bin/keytool
em /usr/lib/jvm/java-7-openjdk/jre/bin/orbd
em /usr/lib/jvm/java-7-openjdk/jre/bin/pack200
em /usr/lib/jvm/java-7-openjdk/jre/bin/policytool
em /usr/lib/jvm/java-7-openjdk/jre/bin/rmid
em /usr/lib/jvm/java-7-openjdk/jre/bin/rmiregistry
em /usr/lib/jvm/java-7-openjdk/jre/bin/servertool
em /usr/lib/jvm/java-7-openjdk/jre/bin/tnameserv

# Java 7 JDK
em /usr/lib/jvm/java-7-openjdk/bin/appletviewer
em /usr/lib/jvm/java-7-openjdk/bin/apt
em /usr/lib/jvm/java-7-openjdk/bin/extcheck
em /usr/lib/jvm/java-7-openjdk/bin/idlj
em /usr/lib/jvm/java-7-openjdk/bin/jar
em /usr/lib/jvm/java-7-openjdk/bin/jarsigner
em /usr/lib/jvm/java-7-openjdk/bin/javac
em /usr/lib/jvm/java-7-openjdk/bin/javadoc
em /usr/lib/jvm/java-7-openjdk/bin/javah
em /usr/lib/jvm/java-7-openjdk/bin/javap
em /usr/lib/jvm/java-7-openjdk/bin/jcmd
em /usr/lib/jvm/java-7-openjdk/bin/jconsole
em /usr/lib/jvm/java-7-openjdk/bin/jdb
em /usr/lib/jvm/java-7-openjdk/bin/jhat
em /usr/lib/jvm/java-7-openjdk/bin/jinfo
em /usr/lib/jvm/java-7-openjdk/bin/jmap
em /usr/lib/jvm/java-7-openjdk/bin/jps
em /usr/lib/jvm/java-7-openjdk/bin/jrunscript
em /usr/lib/jvm/java-7-openjdk/bin/jsadebugd
em /usr/lib/jvm/java-7-openjdk/bin/jstack
em /usr/lib/jvm/java-7-openjdk/bin/jstat
em /usr/lib/jvm/java-7-openjdk/bin/jstatd
em /usr/lib/jvm/java-7-openjdk/bin/native2ascii
em /usr/lib/jvm/java-7-openjdk/bin/rmic
em /usr/lib/jvm/java-7-openjdk/bin/schemagen
em /usr/lib/jvm/java-7-openjdk/bin/serialver
em /usr/lib/jvm/java-7-openjdk/bin/wsgen
em /usr/lib/jvm/java-7-openjdk/bin/wsimport
em /usr/lib/jvm/java-7-openjdk/bin/xjc

# Java 8 JRE
em /usr/lib/jvm/java-8-openjdk/jre/bin/java
em /usr/lib/jvm/java-8-openjdk/jre/bin/jjs
em /usr/lib/jvm/java-8-openjdk/jre/bin/keytool
em /usr/lib/jvm/java-8-openjdk/jre/bin/orbd
em /usr/lib/jvm/java-8-openjdk/jre/bin/pack200
em /usr/lib/jvm/java-8-openjdk/jre/bin/rmid
em /usr/lib/jvm/java-8-openjdk/jre/bin/rmiregistry
em /usr/lib/jvm/java-8-openjdk/jre/bin/servertool
em /usr/lib/jvm/java-8-openjdk/jre/bin/tnameserv

# Java 8 JDK
em /usr/lib/jvm/java-8-openjdk/bin/appletviewer
em /usr/lib/jvm/java-8-openjdk/bin/extcheck
em /usr/lib/jvm/java-8-openjdk/bin/idlj
em /usr/lib/jvm/java-8-openjdk/bin/jar
em /usr/lib/jvm/java-8-openjdk/bin/jarsigner
em /usr/lib/jvm/java-8-openjdk/bin/javac
em /usr/lib/jvm/java-8-openjdk/bin/javadoc
em /usr/lib/jvm/java-8-openjdk/bin/javah
em /usr/lib/jvm/java-8-openjdk/bin/javap
em /usr/lib/jvm/java-8-openjdk/bin/jcmd
em /usr/lib/jvm/java-8-openjdk/bin/jconsole
em /usr/lib/jvm/java-8-openjdk/bin/jdb
em /usr/lib/jvm/java-8-openjdk/bin/jdeps
em /usr/lib/jvm/java-8-openjdk/bin/jhat
em /usr/lib/jvm/java-8-openjdk/bin/jinfo
em /usr/lib/jvm/java-8-openjdk/bin/jmap
em /usr/lib/jvm/java-8-openjdk/bin/jps
em /usr/lib/jvm/java-8-openjdk/bin/jrunscript
em /usr/lib/jvm/java-8-openjdk/bin/jsadebugd
em /usr/lib/jvm/java-8-openjdk/bin/jstack
em /usr/lib/jvm/java-8-openjdk/bin/jstat
em /usr/lib/jvm/java-8-openjdk/bin/jstatd
em /usr/lib/jvm/java-8-openjdk/bin/native2ascii
em /usr/lib/jvm/java-8-openjdk/bin/rmic
em /usr/lib/jvm/java-8-openjdk/bin/schemagen
em /usr/lib/jvm/java-8-openjdk/bin/serialver
em /usr/lib/jvm/java-8-openjdk/bin/wsgen
em /usr/lib/jvm/java-8-openjdk/bin/wsimport
em /usr/lib/jvm/java-8-openjdk/bin/xjc

# Qt
em /usr/bin/designer-qt4
em /usr/bin/qtcreator-bin
em /usr/lib/qt/bin/designer
em /usr/lib/qt/bin/qml
em /usr/lib/qt/bin/qmlviewer

# kde
em /usr/bin/akonadi_archivemail_agent
em /usr/bin/akonadi_followupreminder_agent
em /usr/bin/akonadi_imap_resource
em /usr/bin/akonadi_newmailnotifier_agent
em /usr/bin/akonadi_mailfilter_agent
em /usr/bin/akonadi_sendlater_agent
em /usr/bin/akonadiconsole
em /usr/bin/akregator
em /usr/bin/baloo_file
em /usr/bin/baloo_file_cleaner
em /usr/bin/blogilo
em /usr/bin/kalzium
em /usr/bin/kamoso
em /usr/bin/kate
em /usr/bin/kdeinit4
em /usr/bin/kdeinit5
em /usr/bin/kdenlive
em /usr/bin/kdevelop
em /usr/bin/kmail
em /usr/bin/knetwalk
em /usr/bin/knode
em /usr/bin/knotify4
em /usr/bin/kolourpaint
em /usr/bin/kontact
em /usr/bin/kreversi
em /usr/bin/krunner
em /usr/bin/ksmserver
em /usr/bin/ksplashqml
em /usr/bin/kwin
em /usr/bin/kwin_gles
em /usr/bin/kwin_x11
em /usr/bin/marble
em /usr/bin/marble-qt
em /usr/bin/muon-discover
em /usr/bin/okular
em /usr/bin/plasmashell
em /usr/bin/storageservicemanager
em /usr/bin/systemsettings5
em /usr/bin/tellico
em /usr/lib/kde4/libexec/drkonqi
em /usr/lib/kde4/libexec/kwin_opengl_test
em /usr/lib/kde4/libexec/kscreenlocker_greet
em /usr/lib/kde4/libexec/ktp-text-ui
em /usr/lib/kscreenlocker_greet

# imagemagick
em /usr/bin/animate
em /usr/bin/compare
em /usr/bin/composite
em /usr/bin/conjure
em /usr/bin/convert
em /usr/bin/display
em /usr/bin/identify
em /usr/bin/import
em /usr/bin/mogrify
em /usr/bin/montage
em /usr/bin/stream

# polkit
em /usr/lib/polkit-1/polkitd

# qemu (user mode emulation)
em /usr/bin/qemu-aarch64
em /usr/bin/qemu-alpha
em /usr/bin/qemu-arm
em /usr/bin/qemu-armeb
em /usr/bin/qemu-cris
em /usr/bin/qemu-i386
em /usr/bin/qemu-m68k
em /usr/bin/qemu-microblaze
em /usr/bin/qemu-microblazeel
em /usr/bin/qemu-mips
em /usr/bin/qemu-mips64
em /usr/bin/qemu-mips64el
em /usr/bin/qemu-mipsel
em /usr/bin/qemu-mipsn32
em /usr/bin/qemu-mipsn32el
em /usr/bin/qemu-or32
em /usr/bin/qemu-ppc
em /usr/bin/qemu-ppc64
em /usr/bin/qemu-ppc64abi32
em /usr/bin/qemu-s390x
em /usr/bin/qemu-sh4
em /usr/bin/qemu-sh4eb
em /usr/bin/qemu-sparc
em /usr/bin/qemu-sparc32plus
em /usr/bin/qemu-sparc64
em /usr/bin/qemu-unicore32
em /usr/bin/qemu-x86_64

# qemu (system emulation)
em /usr/bin/qemu-system-aarch64
em /usr/bin/qemu-system-alpha
em /usr/bin/qemu-system-arm
em /usr/bin/qemu-system-cris
em /usr/bin/qemu-system-i386
em /usr/bin/qemu-system-lm32
em /usr/bin/qemu-system-m68k
em /usr/bin/qemu-system-microblaze
em /usr/bin/qemu-system-microblazeel
em /usr/bin/qemu-system-mips
em /usr/bin/qemu-system-mips64
em /usr/bin/qemu-system-mips64el
em /usr/bin/qemu-system-mipsel
em /usr/bin/qemu-system-moxie
em /usr/bin/qemu-system-or32
em /usr/bin/qemu-system-ppc
em /usr/bin/qemu-system-ppc64
em /usr/bin/qemu-system-ppcemb
em /usr/bin/qemu-system-s390x
em /usr/bin/qemu-system-sh4
em /usr/bin/qemu-system-sh4eb
em /usr/bin/qemu-system-sparc
em /usr/bin/qemu-system-sparc64
em /usr/bin/qemu-system-unicore32
em /usr/bin/qemu-system-x86_64
em /usr/bin/qemu-system-xtensa
em /usr/bin/qemu-system-xtensaeb

# VirtualBox
em /usr/lib/virtualbox/VBoxBalloonCtrl
em /usr/lib/virtualbox/VBoxHeadless
em /usr/lib/virtualbox/VBoxManage
em /usr/lib/virtualbox/VBoxNetAdpCtl
em /usr/lib/virtualbox/VBoxNetDHCP
em /usr/lib/virtualbox/VBoxSDL
em /usr/lib/virtualbox/VBoxSVC
em /usr/lib/virtualbox/VBoxTunctl
em /usr/lib/virtualbox/VBoxTestOGL
em /usr/lib/virtualbox/VBoxXPCOMIPCD
em /usr/lib/virtualbox/VirtualBox

# valgrind
em /usr/bin/valgrind
em /usr/lib/valgrind/cachegrind-amd64-linux
em /usr/lib/valgrind/cachegrind-x86-linux
em /usr/lib/valgrind/callgrind-amd64-linux
em /usr/lib/valgrind/callgrind-x86-linux
em /usr/lib/valgrind/drd-amd64-linux
em /usr/lib/valgrind/drd-x86-linux
em /usr/lib/valgrind/exp-bbv-amd64-linux
em /usr/lib/valgrind/exp-bbv-x86-linux
em /usr/lib/valgrind/exp-dhat-amd64-linux
em /usr/lib/valgrind/exp-dhat-x86-linux
em /usr/lib/valgrind/exp-sgcheck-amd64-linux
em /usr/lib/valgrind/exp-sgcheck-x86-linux
em /usr/lib/valgrind/helgrind-amd64-linux
em /usr/lib/valgrind/helgrind-x86-linux
em /usr/lib/valgrind/lackey-amd64-linux
em /usr/lib/valgrind/lackey-x86-linux
em /usr/lib/valgrind/massif-amd64-linux
em /usr/lib/valgrind/massif-x86-linux
em /usr/lib/valgrind/memcheck-amd64-linux
em /usr/lib/valgrind/memcheck-x86-linux
em /usr/lib/valgrind/none-amd64-linux
em /usr/lib/valgrind/none-x86-linux

# ruby
em /usr/bin/rbx
em /usr/bin/ruby

# skype
em /usr/lib/skype/skype
em /usr/lib32/skype/skype

# steam
em /usr/lib32/ld-linux.so.2

# standalone SpiderMonkey
emr /usr/bin/js
em  /usr/bin/js17
em  /usr/bin/js24

# xul-based web browsers and other applications
pem /usr/lib/aurora/aurora
em  /usr/lib/aurora/plugin-container
pem /usr/lib/firefox/firefox
em  /usr/lib/firefox/plugin-container
pem /usr/lib/firefox-developer-edition/firefox
em  /usr/lib/firefox-developer-edition/plugin-container
pem /usr/lib/iceweasel/iceweasel
em  /usr/lib/iceweasel/plugin-container
em  /usr/lib/seamonkey/seamonkey
em  /usr/lib/seamonkey/plugin-container
pem /usr/lib/thunderbird/thunderbird
em  /usr/lib/thunderbird/plugin-container
em  /usr/lib/xulrunner-38.0.1/xulrunner
em  /usr/lib/xulrunner-38.0.1/plugin-container
pem /usr/lib32/bin32-firefox/firefox32
em  /usr/lib32/bin32-firefox/plugin-container

# web browsers
em   /usr/bin/arora
em   /usr/bin/dwb
emr  /usr/bin/elinks
em   /usr/bin/epiphany
em   /usr/bin/konqueror
em   /usr/bin/luakit
em   /usr/bin/midori
em   /usr/bin/otter-browser
em   /usr/bin/qupzilla
em   /usr/bin/rekonq
em   /usr/bin/surf
em   /usr/bin/uzbl-core
em   /usr/lib/chromium/chromium
pems /usr/lib/chromium/nacl_helper
em   /usr/lib/opera/opera
em   /usr/lib/opera/pluginwrapper/operapluginwrapper-native

# wine
pemrs /usr/bin/wine-preloader
pemrs /usr/bin/wine64-preloader

# teamviewer
em /opt/teamviewer/tv_bin/teamviewerd
em /opt/teamviewer/tv_bin/wine/bin/wine-preloader

# spotify
em /usr/bin/spotify
em /usr/share/spotify/spotify
em /usr/share/spotify/spotify-client/Data/SpotifyHelper
Retrieved from "https://www.whonix.org/w/index.php?title=Dev/Grsecurity&oldid=21780"