Распаковываем архив с ядром.

# tar xvjf linux-2.4.22.tar.bz2

Переходим в образовавшийся каталог.

# cd linux

Распаковываем остальные архивы и накладываем на ядро патч.

#  tar xvjf ../rsbac-v1.2.2.tar.bz2

Примечание: в старых версиях утилиты (до 1.0.9a) можно найти патчи также и внутри этого архива.

#  gzip -dc ../patch-2.4.22-v1.2.2.gz | patch -p1

Это обязательная программа, т.к. при работе пользователи часто сталкиваются с ошибками, все исправления которых представлены в bugfixes. Поэтому имеет смысл ознакомиться с ними и пропатчить ядро для их устранения.

# wget -c http://www.rsbac.org/bugfixes/rsbac-bugfix-v1.2.1-1.diff

# patch -p1 < rsbac-bugfix-v1.2.1-1.diff

И теперь конфигурируем ядро:

# make menuconfig

При этом в меню появляется еще один пункт, названный «Rule Set Based Access Control», активировав который, можно получить компьютер, защищенный по классу В1. Большинство опций документированы, остановлюсь лишь на интересных. Для изучения незаменимой является опция RSBAC soft mode, позволяющая отключать режим управления доступом при загрузке, передавая параметр ядру rsbac_softmode (просмотреть текущий режим можно, прочитав /proc/rsbac-info/{stats|debug}). При серьезных проблемах, когда нельзя добраться до системы вообще, может понадобиться ядро с включенным параметром «RSBAC maintenance kernel» (CONFIG_RSBAC_MAINT), в котором отключаются все RSBAC-модули (чтобы избежать проблем при обслуживании, лучше отключить поддержку сети в таком ядре). При включенной опции «RSBAC proc support» в каталоге /proc появляется подкаталог rsbac-info, содержащий статистику по работе RSBAC (подробнее в README-proc) и позволяющий читать и записывать параметры некоторых настроек, но после проведения экспериментов все же лучше данный параметр отключить, зачем давать нападающему лишнюю информацию об используемой защите. Опция Inherit as default (CONFIG_RSBAC_DEF_INHERIT) позволяет автоматически наследовать файлам и каталогам дополнительные параметры вроде security_level, data_type. Опция Support secure delete (CONFIG_RSBAC_SECDEL) позволит удалять файлы безвозвратно, в настоящее время безопасное удаление поддерживают только модули FF (файлы, помеченные как ff_flag secure_delete) и PM (для файлов, помеченных как personal data), при этом оставшееся место заполняется нулями, поддерживаются файловые системы ext2, minix, msdos и vfat, включение данной опции несколько замедляет работу файловой системы. RSBAC extra statistics (CONFIG_RSBAC_XSTATS) появляется дополнительная статистическая информация, которую можно прочесть в /proc/rsbac-info/xstats. Log full path позволит заносить полное имя файла в журнал, иначе в нем будет прописано только имя файла, доступ к которому протоколируется. Для работы необязательно включать все модули, оставьте те, которые вам действительно нужны, остальные не трогайте, так как использование RSBAC, естественно, влияет на производительность системы, и чем больше будет проверок, тем больше это будет сказываться на общей производительности. По результатам тестов, которые можно посмотреть на http://www.rsbac.org/benchmark.htm, максимально возможная потеря производительности составляет меньше 10 процентов. Например, я использую модули auth, MAC, RC и ACL. Хотя в некоторых случаях бывает достаточно PM или FF. Для каждого обязательно включите параметр «имя_модуля protection for AUTH module», остальные, как правило, можно и не трогать.