Setting up grsecurity RBAC password

Password:

Re-enter password:

Во второй версии GRSecurity появился режим полного обучения системы. Для его активации необходимо выполнить:

# gradm –F –L /var/log/grsec

Все попытки любых программ получить доступ к каким-либо объектам будут фиксироваться в файле /var/log/grsec. Через некоторое время отключаем GRSecurity:

# gradm –D

Password:

и с помощью следующей команды из протокола получаем файл /etc/grsec/acl:

# gradm –F –L /var/log/grsec –O /etc/grsec/acl

примерно такой структуры:

role default

subject / {

    /      h

    -CAP_ALL

    connect disabled

    bind disabled

}

role root uG

subject / {

    /      h

    /bin   h

……………….

}

………………..

Этот ACL будет мало пригоден для работы, его придется долго настраивать. Это, с одной стороны, связано с несовершенством режима обучения, а с другой стороны – с тем, что за время обучения какие-либо программы частично не выполняли свои функции. Например, за время обучения DNS-сервер ни разу не запустил процесс передачи зоны, в связи с чем впоследствии возникнут ошибки доступа к файлам зон, которые придется исправлять вручную. Здесь напрашивается вывод – почему бы не оставить режим обучения на несколько дней, тогда можно быть уверенным, что все функции выполнились хотя бы один раз. Однако такой подход не верен. Дело в том, что помимо выполнения нужных функций (той же передачи зоны) могут быть выполнены и ненужные. Например, администратор зашел в консоль и произвел какие-либо нестандартные действия, для которых впоследствии будет применяться специальная роль. В таком случае для этих действий тоже будет сформирован ACL, что будет дырой в системе безопасности. Вообще чем меньше написано различных ACL – тем лучше.