Ранее было сказано, что ключевая цель (и ведущее преимущество) Grsecurity состоит в том, чтобы максимально упростить настройку системы безопасности. А тут столько разговоров о различных ACL, ролях, субъектах и объектах.

     Для автоматического создания файла правил Grsecurity предоставляет ре­жим обучения. Даже если есть охота создавать файлы правил вручную, рекомендуется употреблять режим обучения - он послужит фунда­ментом для собственного файла.

     Если еще не установлена программа gradm, то сейчас самое время это сделать. После того, как будет введен make install, программа попросит ввести пароль, который будет применяться для администрирования ACL-системы. Не нужно вводить пароль пользователя root!

     Для запуска автоматического обучения нужно запустить gradm со следующими опциями:

     Во время обучающего режима все действия, произведенные системой, бу­дут запротоколированы в файл /etc/grsec/learning. log. После окончания обучающего режима Grsecurity обработает протокол и на его основа­нии сгенерирует ACL.

     Во время обучающего режима, так же как и в случае с systrace, важно по­работать с приложением, которое нужно защитить (с элементом), в раз­ных режимах, чтобы система Grsecurity запротоколировала все действия, которые может реализовывать элемент. К примеру, для Web-сервера нужно не только запросить HTML-страничку, но и различные сценарии, написанные на РНР и на Perl, и тоже не забыть запустить сценарий, работающий с MySQL. Для Web-браузера нужно посетить разные сайты, не забуть про HTTPS-сайты и сайты со скриптами (JavaScript, Jscript и т.д.)

     Во время обучающего режима не нужно производить действий администратора, к примеру запуска и останова сервиса, модифицирования учетной записи, установки и удаления программного гарантирования, иначе они запишутся в протокол и будут считаться разрешенными.

Обучающий режим должен длиться целый день (тоже будут запротоколи­рованы задачи cron). После данного нужно отключить контроль доступа с помощью следующей команды:

     Нужно ввести пароль, который был указан при установке программы. Чтобы gradm сгенерировал ACL по полученному протоколу, нужно использовать опцию -О:

     Внедрение Grsecurity.

     Grsecurity позволяет контролировать как пользовательские, так и сетевые сервисы, что делает эту систему идеальной как для применения на DMZ-серверах, так и на обычных многопользовательских машинах внутренней сети. Большая часть этих функций требуют небольшой настройки, что не так уж страшно - ведь есть режим автоматического создания ACL.