Dev/Grsecurity
From Whonix
< Dev
This page is for keeping track of paxd.conf. By diffing updated versions with the archived one here maintainers can easily see what new entries have been added.
# This file contains a list of exceptions to be applied by paxd. Empty lines # are ignored and comments can be written by starting a line with `#`. The # format of other lines is `flags /path/to/executable`. # # Exceptions will be applied on start-up and then again as-needed when the # configuration file or the executables are replaced. # # A lowercase letter disables a feature, and an uppercase letter enables it. # # The following features are available: # # * P(AGEEXEC) <https://pax.grsecurity.net/docs/pageexec.txt> # * E(MUTRAMP) <https://pax.grsecurity.net/docs/emutramp.txt> # * M(PROTECT) <https://pax.grsecurity.net/docs/mprotect.txt> # * R(ANDMMAP) <https://pax.grsecurity.net/docs/randmmap.txt> # * S(EGMEXEC) <https://pax.grsecurity.net/docs/segmexec.txt> # # The default flags are `PeMRs` with softmode=0 and `pemrs` with softmode=1. # # An exception without an explicit EMUTRAMP flag will enable EMUTRAMP, so most # rules should include `e`. em /opt/brackets/Brackets em /opt/dropbox/dropbox em /opt/LightTable/ltbin em /opt/mendeleydesktop/lib/mendeleydesktop/libexec/mendeleydesktop.x86_64 em /opt/mendeleydesktop/lib/mendeleydesktop/libexec/mendeleydesktop.i486 em /opt/SpiderOak/lib/SpiderOak em /opt/telegram/Telegram em /opt/urbanterror/urbanterror em /opt/visual-studio-code/Code em /opt/VSCode/Code em /usr/bin/avogadro em /usr/bin/blender em /usr/bin/btsync em /usr/bin/cabal em /usr/bin/copyq em /usr/bin/cutegram em /usr/bin/dolphin-emu em /usr/bin/dosbox em /usr/bin/gendesk em /usr/bin/ghb em /usr/bin/glxdemo em /usr/bin/glxgears em /usr/bin/glxinfo em /usr/bin/glxspheres em /usr/bin/gnucash em /usr/bin/goldendict em /usr/bin/HandBrakeCLI em /usr/bin/hhvm em /usr/bin/inkscape em /usr/bin/konstruktor em /usr/bin/liferea em /usr/bin/lli em /usr/bin/love em /usr/bin/love08 emr /usr/bin/luajit E /usr/bin/make em /usr/bin/minitube em /usr/bin/mono em /usr/bin/mono-sgen em /usr/bin/mplayer em /usr/bin/mumble em /usr/bin/node em /usr/bin/nvim em /usr/bin/obex-data-server em /usr/bin/quassel em /usr/bin/quasselcore em /usr/bin/racket emr /usr/bin/sbcl em /usr/bin/scheme em /usr/bin/sddm-greeter em /usr/bin/sigil em /usr/bin/smplayer em /usr/bin/spicec em /usr/bin/stellarium em /usr/bin/systemsettings em /usr/bin/tcc em /usr/bin/texmaker em /usr/bin/texstudio em /usr/bin/trojita em /usr/bin/vbetool em /usr/bin/vim em /usr/bin/vlc emr /usr/lib/couchdb/bin/couchjs em /usr/lib/kodi/kodi.bin em /usr/lib/libreoffice/program/soffice.bin em /usr/lib/racket/gracket em /usr/share/atom/atom em /usr/share/atom/resources/app/apm/bin/node # GCC (precompiled headers) er /usr/lib/gcc/i686-pc-linux-gnu/5.3.0/cc1 er /usr/lib/gcc/i686-pc-linux-gnu/5.3.0/cc1plus er /usr/lib/gcc/x86_64-unknown-linux-gnu/5.3.0/cc1 er /usr/lib/gcc/x86_64-unknown-linux-gnu/5.3.0/cc1plus # Popcorn Time em /opt/popcorntime-bin/Popcorn-Time em /usr/lib/popcorntime/Popcorn-Time # p11-kit (libffi) E /usr/bin/p11-kit E /usr/bin/trust # p7zip em /usr/lib/p7zip/7z em /usr/lib/p7zip/7zFM em /usr/lib/p7zip/7zG em /usr/lib/p7zip/7za em /usr/lib/p7zip/7zr # clamav em /usr/bin/clamd em /usr/bin/clamscan em /usr/bin/freshclam # cinnamon/gnome/gtk (mostly caused by gjs and webkitgtk) em /usr/bin/cheese em /usr/bin/cinnamon emr /usr/bin/cjs-console em /usr/bin/empathy em /usr/bin/empathy-accounts em /usr/bin/gdk-pixbuf-query-loaders em /usr/bin/gdk-pixbuf-query-loaders-32 em /usr/bin/geary em /usr/bin/gitg em /usr/bin/gjs-console em /usr/bin/gnome-control-center em /usr/bin/gnome-maps em /usr/bin/gnome-shell em /usr/bin/gnome-shell-extension-prefs em /usr/bin/gnome-web-photo em /usr/bin/gtk-query-immodules-2.0 em /usr/bin/gtk-query-immodules-2.0-32 em /usr/bin/gtk-query-immodules-3.0 em /usr/bin/gtk-query-immodules-3.0-32 em /usr/bin/seahorse em /usr/bin/seed em /usr/bin/yelp em /usr/lib/empathy/empathy-auth-client em /usr/lib/empathy/empathy-call em /usr/lib/empathy/empathy-chat em /usr/lib/gstreamer-1.0/gst-plugin-scanner emr /usr/lib/nemo-preview/nemo-preview-start em /usr/lib/sushi/sushi-start em /usr/lib/webkit2gtk-4.0/WebKitWebProcess em /usr/lib/webkitgtk/WebKitWebProcess # grub emr /usr/bin/grub-bios-setup em /usr/bin/grub-probe er /usr/bin/grub-script-check # python em /usr/bin/python2 em /usr/bin/python3 em /opt/pypy/bin/pypy-c em /opt/pypy3/bin/pypy-c # Java 6 em /usr/lib/jvm/java-6-openjdk/bin/java em /usr/lib/jvm/java-6-openjdk/bin/javac em /usr/lib/jvm/java-6-openjdk/jre/bin/java # Java 7 JRE em /usr/lib/jvm/java-7-openjdk/jre/bin/java em /usr/lib/jvm/java-7-openjdk/jre/bin/keytool em /usr/lib/jvm/java-7-openjdk/jre/bin/orbd em /usr/lib/jvm/java-7-openjdk/jre/bin/pack200 em /usr/lib/jvm/java-7-openjdk/jre/bin/policytool em /usr/lib/jvm/java-7-openjdk/jre/bin/rmid em /usr/lib/jvm/java-7-openjdk/jre/bin/rmiregistry em /usr/lib/jvm/java-7-openjdk/jre/bin/servertool em /usr/lib/jvm/java-7-openjdk/jre/bin/tnameserv # Java 7 JDK em /usr/lib/jvm/java-7-openjdk/bin/appletviewer em /usr/lib/jvm/java-7-openjdk/bin/apt em /usr/lib/jvm/java-7-openjdk/bin/extcheck em /usr/lib/jvm/java-7-openjdk/bin/idlj em /usr/lib/jvm/java-7-openjdk/bin/jar em /usr/lib/jvm/java-7-openjdk/bin/jarsigner em /usr/lib/jvm/java-7-openjdk/bin/javac em /usr/lib/jvm/java-7-openjdk/bin/javadoc em /usr/lib/jvm/java-7-openjdk/bin/javah em /usr/lib/jvm/java-7-openjdk/bin/javap em /usr/lib/jvm/java-7-openjdk/bin/jcmd em /usr/lib/jvm/java-7-openjdk/bin/jconsole em /usr/lib/jvm/java-7-openjdk/bin/jdb em /usr/lib/jvm/java-7-openjdk/bin/jhat em /usr/lib/jvm/java-7-openjdk/bin/jinfo em /usr/lib/jvm/java-7-openjdk/bin/jmap em /usr/lib/jvm/java-7-openjdk/bin/jps em /usr/lib/jvm/java-7-openjdk/bin/jrunscript em /usr/lib/jvm/java-7-openjdk/bin/jsadebugd em /usr/lib/jvm/java-7-openjdk/bin/jstack em /usr/lib/jvm/java-7-openjdk/bin/jstat em /usr/lib/jvm/java-7-openjdk/bin/jstatd em /usr/lib/jvm/java-7-openjdk/bin/native2ascii em /usr/lib/jvm/java-7-openjdk/bin/rmic em /usr/lib/jvm/java-7-openjdk/bin/schemagen em /usr/lib/jvm/java-7-openjdk/bin/serialver em /usr/lib/jvm/java-7-openjdk/bin/wsgen em /usr/lib/jvm/java-7-openjdk/bin/wsimport em /usr/lib/jvm/java-7-openjdk/bin/xjc # Java 8 JRE em /usr/lib/jvm/java-8-openjdk/jre/bin/java em /usr/lib/jvm/java-8-openjdk/jre/bin/jjs em /usr/lib/jvm/java-8-openjdk/jre/bin/keytool em /usr/lib/jvm/java-8-openjdk/jre/bin/orbd em /usr/lib/jvm/java-8-openjdk/jre/bin/pack200 em /usr/lib/jvm/java-8-openjdk/jre/bin/rmid em /usr/lib/jvm/java-8-openjdk/jre/bin/rmiregistry em /usr/lib/jvm/java-8-openjdk/jre/bin/servertool em /usr/lib/jvm/java-8-openjdk/jre/bin/tnameserv # Java 8 JDK em /usr/lib/jvm/java-8-openjdk/bin/appletviewer em /usr/lib/jvm/java-8-openjdk/bin/extcheck em /usr/lib/jvm/java-8-openjdk/bin/idlj em /usr/lib/jvm/java-8-openjdk/bin/jar em /usr/lib/jvm/java-8-openjdk/bin/jarsigner em /usr/lib/jvm/java-8-openjdk/bin/javac em /usr/lib/jvm/java-8-openjdk/bin/javadoc em /usr/lib/jvm/java-8-openjdk/bin/javah em /usr/lib/jvm/java-8-openjdk/bin/javap em /usr/lib/jvm/java-8-openjdk/bin/jcmd em /usr/lib/jvm/java-8-openjdk/bin/jconsole em /usr/lib/jvm/java-8-openjdk/bin/jdb em /usr/lib/jvm/java-8-openjdk/bin/jdeps em /usr/lib/jvm/java-8-openjdk/bin/jhat em /usr/lib/jvm/java-8-openjdk/bin/jinfo em /usr/lib/jvm/java-8-openjdk/bin/jmap em /usr/lib/jvm/java-8-openjdk/bin/jps em /usr/lib/jvm/java-8-openjdk/bin/jrunscript em /usr/lib/jvm/java-8-openjdk/bin/jsadebugd em /usr/lib/jvm/java-8-openjdk/bin/jstack em /usr/lib/jvm/java-8-openjdk/bin/jstat em /usr/lib/jvm/java-8-openjdk/bin/jstatd em /usr/lib/jvm/java-8-openjdk/bin/native2ascii em /usr/lib/jvm/java-8-openjdk/bin/rmic em /usr/lib/jvm/java-8-openjdk/bin/schemagen em /usr/lib/jvm/java-8-openjdk/bin/serialver em /usr/lib/jvm/java-8-openjdk/bin/wsgen em /usr/lib/jvm/java-8-openjdk/bin/wsimport em /usr/lib/jvm/java-8-openjdk/bin/xjc # Qt em /usr/bin/designer-qt4 em /usr/bin/qtcreator-bin em /usr/lib/qt/bin/designer em /usr/lib/qt/bin/qml em /usr/lib/qt/bin/qmlviewer # kde em /usr/bin/akonadi_archivemail_agent em /usr/bin/akonadi_followupreminder_agent em /usr/bin/akonadi_imap_resource em /usr/bin/akonadi_newmailnotifier_agent em /usr/bin/akonadi_mailfilter_agent em /usr/bin/akonadi_sendlater_agent em /usr/bin/akonadiconsole em /usr/bin/akregator em /usr/bin/baloo_file em /usr/bin/baloo_file_cleaner em /usr/bin/blogilo em /usr/bin/kalzium em /usr/bin/kamoso em /usr/bin/kate em /usr/bin/kdeinit4 em /usr/bin/kdeinit5 em /usr/bin/kdenlive em /usr/bin/kdevelop em /usr/bin/kmail em /usr/bin/knetwalk em /usr/bin/knode em /usr/bin/knotify4 em /usr/bin/kolourpaint em /usr/bin/kontact em /usr/bin/kreversi em /usr/bin/krunner em /usr/bin/ksmserver em /usr/bin/ksplashqml em /usr/bin/kwin em /usr/bin/kwin_gles em /usr/bin/kwin_x11 em /usr/bin/marble em /usr/bin/marble-qt em /usr/bin/muon-discover em /usr/bin/okular em /usr/bin/plasmashell em /usr/bin/storageservicemanager em /usr/bin/systemsettings5 em /usr/bin/tellico em /usr/lib/kde4/libexec/drkonqi em /usr/lib/kde4/libexec/kwin_opengl_test em /usr/lib/kde4/libexec/kscreenlocker_greet em /usr/lib/kde4/libexec/ktp-text-ui em /usr/lib/kscreenlocker_greet # imagemagick em /usr/bin/animate em /usr/bin/compare em /usr/bin/composite em /usr/bin/conjure em /usr/bin/convert em /usr/bin/display em /usr/bin/identify em /usr/bin/import em /usr/bin/mogrify em /usr/bin/montage em /usr/bin/stream # polkit em /usr/lib/polkit-1/polkitd # qemu (user mode emulation) em /usr/bin/qemu-aarch64 em /usr/bin/qemu-alpha em /usr/bin/qemu-arm em /usr/bin/qemu-armeb em /usr/bin/qemu-cris em /usr/bin/qemu-i386 em /usr/bin/qemu-m68k em /usr/bin/qemu-microblaze em /usr/bin/qemu-microblazeel em /usr/bin/qemu-mips em /usr/bin/qemu-mips64 em /usr/bin/qemu-mips64el em /usr/bin/qemu-mipsel em /usr/bin/qemu-mipsn32 em /usr/bin/qemu-mipsn32el em /usr/bin/qemu-or32 em /usr/bin/qemu-ppc em /usr/bin/qemu-ppc64 em /usr/bin/qemu-ppc64abi32 em /usr/bin/qemu-s390x em /usr/bin/qemu-sh4 em /usr/bin/qemu-sh4eb em /usr/bin/qemu-sparc em /usr/bin/qemu-sparc32plus em /usr/bin/qemu-sparc64 em /usr/bin/qemu-unicore32 em /usr/bin/qemu-x86_64 # qemu (system emulation) em /usr/bin/qemu-system-aarch64 em /usr/bin/qemu-system-alpha em /usr/bin/qemu-system-arm em /usr/bin/qemu-system-cris em /usr/bin/qemu-system-i386 em /usr/bin/qemu-system-lm32 em /usr/bin/qemu-system-m68k em /usr/bin/qemu-system-microblaze em /usr/bin/qemu-system-microblazeel em /usr/bin/qemu-system-mips em /usr/bin/qemu-system-mips64 em /usr/bin/qemu-system-mips64el em /usr/bin/qemu-system-mipsel em /usr/bin/qemu-system-moxie em /usr/bin/qemu-system-or32 em /usr/bin/qemu-system-ppc em /usr/bin/qemu-system-ppc64 em /usr/bin/qemu-system-ppcemb em /usr/bin/qemu-system-s390x em /usr/bin/qemu-system-sh4 em /usr/bin/qemu-system-sh4eb em /usr/bin/qemu-system-sparc em /usr/bin/qemu-system-sparc64 em /usr/bin/qemu-system-unicore32 em /usr/bin/qemu-system-x86_64 em /usr/bin/qemu-system-xtensa em /usr/bin/qemu-system-xtensaeb # VirtualBox em /usr/lib/virtualbox/VBoxBalloonCtrl em /usr/lib/virtualbox/VBoxHeadless em /usr/lib/virtualbox/VBoxManage em /usr/lib/virtualbox/VBoxNetAdpCtl em /usr/lib/virtualbox/VBoxNetDHCP em /usr/lib/virtualbox/VBoxSDL em /usr/lib/virtualbox/VBoxSVC em /usr/lib/virtualbox/VBoxTunctl em /usr/lib/virtualbox/VBoxTestOGL em /usr/lib/virtualbox/VBoxXPCOMIPCD em /usr/lib/virtualbox/VirtualBox # valgrind em /usr/bin/valgrind em /usr/lib/valgrind/cachegrind-amd64-linux em /usr/lib/valgrind/cachegrind-x86-linux em /usr/lib/valgrind/callgrind-amd64-linux em /usr/lib/valgrind/callgrind-x86-linux em /usr/lib/valgrind/drd-amd64-linux em /usr/lib/valgrind/drd-x86-linux em /usr/lib/valgrind/exp-bbv-amd64-linux em /usr/lib/valgrind/exp-bbv-x86-linux em /usr/lib/valgrind/exp-dhat-amd64-linux em /usr/lib/valgrind/exp-dhat-x86-linux em /usr/lib/valgrind/exp-sgcheck-amd64-linux em /usr/lib/valgrind/exp-sgcheck-x86-linux em /usr/lib/valgrind/helgrind-amd64-linux em /usr/lib/valgrind/helgrind-x86-linux em /usr/lib/valgrind/lackey-amd64-linux em /usr/lib/valgrind/lackey-x86-linux em /usr/lib/valgrind/massif-amd64-linux em /usr/lib/valgrind/massif-x86-linux em /usr/lib/valgrind/memcheck-amd64-linux em /usr/lib/valgrind/memcheck-x86-linux em /usr/lib/valgrind/none-amd64-linux em /usr/lib/valgrind/none-x86-linux # ruby em /usr/bin/rbx em /usr/bin/ruby # skype em /usr/lib/skype/skype em /usr/lib32/skype/skype # steam em /usr/lib32/ld-linux.so.2 # standalone SpiderMonkey emr /usr/bin/js em /usr/bin/js17 em /usr/bin/js24 # xul-based web browsers and other applications pem /usr/lib/aurora/aurora em /usr/lib/aurora/plugin-container pem /usr/lib/firefox/firefox em /usr/lib/firefox/plugin-container pem /usr/lib/firefox-developer-edition/firefox em /usr/lib/firefox-developer-edition/plugin-container pem /usr/lib/iceweasel/iceweasel em /usr/lib/iceweasel/plugin-container em /usr/lib/seamonkey/seamonkey em /usr/lib/seamonkey/plugin-container pem /usr/lib/thunderbird/thunderbird em /usr/lib/thunderbird/plugin-container em /usr/lib/xulrunner-38.0.1/xulrunner em /usr/lib/xulrunner-38.0.1/plugin-container pem /usr/lib32/bin32-firefox/firefox32 em /usr/lib32/bin32-firefox/plugin-container # web browsers em /usr/bin/arora em /usr/bin/dwb emr /usr/bin/elinks em /usr/bin/epiphany em /usr/bin/konqueror em /usr/bin/luakit em /usr/bin/midori em /usr/bin/otter-browser em /usr/bin/qupzilla em /usr/bin/rekonq em /usr/bin/surf em /usr/bin/uzbl-core em /usr/lib/chromium/chromium pems /usr/lib/chromium/nacl_helper em /usr/lib/opera/opera em /usr/lib/opera/pluginwrapper/operapluginwrapper-native # wine pemrs /usr/bin/wine-preloader pemrs /usr/bin/wine64-preloader # teamviewer em /opt/teamviewer/tv_bin/teamviewerd em /opt/teamviewer/tv_bin/wine/bin/wine-preloader # spotify em /usr/bin/spotify em /usr/share/spotify/spotify em /usr/share/spotify/spotify-client/Data/SpotifyHelper