Как отслеживать активность подкачки для каждого процесса?
Согласно Брэду Спенглеру на https://forums.grsecurity.net/viewtopic.php?f=7&t=2522, существует тривиальный способ эскалации до uid 0 с помощью CAP_SYS_CHROOT (возможность использования chroot(2):
CAP_SYS_CHROOT: generic: От Julien Tinnes/Chris Evans: если у вас есть доступ на запись в ту же файловую систему, что и suid root бинарник, создайте chroot окружение с backdoored libc, а затем выполните жестко связанный suid root бинарник внутри chroot и получите полные привилегии root через бэкдор
Простой ответ: вы не можете. Запись и чтение в своп выполняется с помощью kswapd. Уже был ответ, как это [обычно работает] [1] - https://serverfault.com/a/316636/252390
Если вы не хотите уменьшать значение Swap IN / Out, вы можете проверить vm.swappiness sysctl парам.
sysctl vm.swappiness
Вы можете установить более низкое значение, чтобы уменьшить использование свопа в системе. Обычно устанавливается на 60.