modules.d/02caps/README

   1 This adds the following parameters:
   2 rd.caps=1
   3         turn the caps module on/off
   4 rd.caps.initdrop=cap_sys_module,cap_sys_rawio
   5         drop the specified comma separated capabilities
   6 rd.caps.disablemodules=1
   7         turn off module loading
   8 rd.caps.disablekexec=1
   9         turn off the kexec functionality
  10
  11 If module loading is turned off, all modules have to be loaded in the
  12 initramfs, which are used later on. This can be done with
  13 "rd.driver.pre="
  14 rd.driver.pre=autofs4,sunrpc,ipt_REJECT,nf_conntrack_ipv4,....
  15
  16 Because the kernel command line would get huge with all those drivers, I
  17 recommend to make use of $initramfs/etc/cmdline.
  18
  19 So, all rd.caps.* and rd.driver.pre arguments are in caps.conf can be
  20 copied to $initramfs/etc/cmdline with "-i caps.conf /etc/cmdline".
  21
  22 Also all modules have to be loaded in the initramfs via "--add-drivers".
  23
  24 The resulting initramfs creation would look like this:
  25
  26   --add-drivers "autofs4 sunrpc ipt_REJECT nf_conntrack_ipv4 \
  27   nf_defrag_ipv4 iptable_filter ip_tables
  28   ip6t_REJECT nf_conntrack_ipv6 nf_defrag_ipv6 xt_state nf_conntrack
  29   ip6table_filter ip6_tables dm_mirror dm_region_hash dm_log uinput ppdev
  30   parport_pc parport ipv6 sg 8139too 8139cp mii i2c_piix4 i2c_core ext3
  31   jbd mbcache sd_mod crc_t10dif sr_mod cdrom ata_generic pata_acpi ata_piix
  32   dm_mod" \
  33   /boot/initramfs-caps.img