diff --git a/etc/permission-hardening.d/30_default.conf b/etc/permission-hardening.d/30_default.conf
index 9527253..7da4b18 100644
--- a/etc/permission-hardening.d/30_default.conf
+++ b/etc/permission-hardening.d/30_default.conf
@@ -13,18 +13,24 @@
 ## To remove all SUID/SGID binaries in a directory, you can use the "nosuid"
 ## argument.
 
+## TODO: white spaces inside file name untested and probably will not work.
+
 ######################################################################
 # SUID disablewhitelist
 ######################################################################
 
+## disablewhitelist disables below (or in lexically higher) files
+## exactwhitelist and matchwhitelist. Add these here (discouraged) or better
+## in file "/etc/permission-hardening.d/20_user.conf".
+
+## For example, if you are not using SELinux the following might make sense to
+## enable. TODO: research
 #/utempter/utempter disablewhitelist
 
 ######################################################################
 # SUID exact match whitelist
 ######################################################################
 
-## TODO: white spaces inside file name untested
-
 /usr/bin/sudo exactwhitelist
 /bin/sudo exactwhitelist
 /usr/bin/bwrap exactwhitelist
@@ -50,8 +56,6 @@
 # SUID regex match whitelist - research required
 ######################################################################
 
-## TODO: white spaces inside file name untested
-
 /usr/lib/virtualbox/ matchwhitelist
 
 ## https://github.com/QubesOS/qubes-core-agent-linux/blob/master/qubes-rpc/qfile-unpacker.c