【为了限定外部攻击影响范围的一些操作】
chroot：这个是说对某个进程来说规定它和它的子进程只能访问某个目录以下的目录，把这个目录当作它的根目录，真正的根目录无法访问

polkit：
是说传统Linux中要么root要么普通user，用suid等进行权限的赋予也很粗糙，所以就通过一个polkit规定一些规则更细粒度管理权限。在GUI环境中比较常用。
（感觉不太对，但是没太搞明白）

capability：
对一个文件的权限进行了细分，比如说【CAP_CHOWN】是更改文件gid和uid的权限，【CAP_NET_RAW】是允许raw socket和packet socket的权限，【CAP_SYS_CHROOT】是允许调用chroot的权限，而不是全部都一并赋予

【rootkit相关】
rootkit：
一种侵入系统的工具，修改系统以达到销毁证据的作用

rkhunter(rootkit hunter)：
防止系统被偷偷安装rootkit的检测工具，还可以检测其他威胁

chkrootkit：
跟上面差不多，防止系统被偷偷安装rootkit，但是功能没有rkhuner丰富