Grsecurity ACL系统(一)

1.什么是ACL系统？

　　ACL(Access Control List，访问控制列表)系统是一种软件，它能够为你的计算机提供更好的访问控制．

2.为什么需要ACL系统？

　　访问控制系统的作用是限制包括root用户在内的所有用户对文件、能力、资源或者套接字的访问。这是一种合法性访问控制(Mandatory Access Control)模型。随着对系统安全性的日益关注，出现了很多针对Linux系统的访问控制系统。这些Linux ACL系统多数是以内核补丁的形势出现的，Grsecurity是其中比较典型和成熟的一种。使用grsecurity，系统管理员可以赋予进程尽可能小的权限，从而使攻击者即使获得了root权限也无法控制整个系统。

3.支持的特征

　　grsecurity具有以下功能：

1.下载grsecurity内核补丁和管理工具gradm

　　从grsecurity的官方网站http://www.grsecurity.net，我们可以获得最新版本的grsecurity内核补丁和管理工具gradm的源代码。本文将以Redhat 7.3和最新版本的Linux-2.4.19内核为例进行讨论。

2.安装grsecurity内核补丁

　　下载完成之后，我们开始安装。进入内核源代码所在的目录，给内核源代码打上grsecurity补丁：

[nixe0n@nixe0n nixe0n]$ cd linux-2.4.19
[nixe0n@nixe0n linux-2.4.19]$ patch -p1 <../grsecurity-1.9.6-2.4.19.patch

　　然后在配置菜单中打开grsecurity支持的选项（相关选项的功能稍后将详细介绍），重新编译内核：

[nixe0n@nixe0n linux-2.4.19]$ make menuconfig
[root@nixe0n linux-2.4.19]# make dep&&make bzImage&&make modules&&make modules_install
[root@nixe0n linux-2.4.19]# cp arch/i386/boot/bzImage /boot/GRSecKernel

　　最后，使用自己喜欢的编辑器在/boot/grub/menu.lst文件中把GRSecKernel加入启动菜单。

安装grsecurity管理工具gradm

　　Grsecurity系统的管理工具叫做gradm，下载了最新版本的gradm之后，只要使用如下命令就可以完成编译和安装：

tar –zxf gradm-.tar.gz
cd gradm
make
make install

　　执行了make install命令时，需要定义一个管理Grsecurity ACL系统的密码。为了系统的安全性，应该使密码足够长，另外不要使这个密码和root账户的密码相同。

1.Grsecurity ACL的结构

　　grsecurity ACL规则由主题进程和对象组成。主题进程是被执行的进程；对象是文件、资源、能力(capability)和对IP的访问控制。系统的主要访问控制列表文件位于/etc/grsec/acl，如果没有这个文件，启动grsecurity系统时就会报错。

　　grsecurity ACL规则的结构如下所示：

<path of subject process> <optional subject modes> {
		<file object> <optional object modes>
                [+|-]<capability> <optional i mode>
		<resource name> <soft limit> <hard limit>
		connect {
			<ip>/<netmask>:<low port>-<high port> <type> <proto>
		}
                bind {
			<ip>/<netmask>:<low port>-<high port> <type> <proto>
		}
}

2.grsecurity ACL规则的一些约定

　　grsecurity的访问控制规则包含一些需要注意的问题。使用时一定要记住这些约定，才能准确地利用其加强系统的安全性。这些约定包括：