可能有些关注我一段时间的人知道我有一个 hardened Linux kernel sysctl 配置

https://github.com/k4yt3x/sysctl

不过这个配置只覆盖了 runtime 的 kernel parameters，有一些 hardening 必须加到 boot command line 里的，也就是 GRUB 或者 systemd-boot 的配置里，例如 slub_debug=FZP

我刚刚把我的 systemd-boot 配置整理了一下也加到 sysctl 那个 repo 里了，方便进一步加固系统：

https://github.com/k4yt3x/sysctl#boot-command-line