/etc/passwd r

    /etc/shadow r

    -CAP_ALL

      connect disabled

      bind disabled

}

а в этом примере мы разрешаем процессу (субъекту) /usr/sbin/apache подключение к любому IP-адресу на 53 порт (DNS) с помощью udp-датаграмм и привязку на все интерфейсы к 80 tcp-порту:

subject /usr/sbin/apache o {

........................................

      connect 0.0.0.0/0:53 dgram udp

      bind 0.0.0.0/0:80 stream tcp

}

Одна из особенностей GRSecurity – основанная на процессах система ограничения ресурсов. С ее помощью можно ограничивать процесс (субъект) в количестве памяти, времени центрального процессора, количестве файлов, которые могут быть открыты, и т. д. Для записи ограничений применяется следующий синтаксис:

<resource name> <soft limit> <hard limit>

Список доступных ограничений:

n  RES_CPU – время центрального процессора в миллисекундах.

n  RES_FSIZE – максимальный размер файла в байтах.

n  RES_DATA – максимальный размер секции данных в байтах.

n  RES_STACK – максимальный размер стека в байтах.

n  RES_CORE – максимальный размер core-файла в байтах.

n  RES_RSS – максимальный размер исполняемой части.

n  RES_NPROC – максимальное число процессов.

n  RES_NOFILE – максимальное число открытых файлов.

n  RES_MEMLOCK – максимальный размер выделенной памяти в байтах.

n  RES_AS – ограничение адресного пространства в байтах.

n  RES_LOCKS – максимальное число блокировок файла.

В качестве примера рассмотрим RES_NOFILE 3 3. Эта запись позволит процессу открыть максимум три файла (все процессы имеют как минимум три открытых файловых дескриптора – stdin, stdout и stderr). Ограничения бывают мягкими (soft limit) и жесткими (hard limit).

Разница между ними состоит в том, что мягкий предел назначается при выполнении процесса.

Жесткий предел – максимальная точка, до которой процесс может поднимать предел с помощью setrlimit, если для процесса не установлена CAP_SYS_RESOURCE.

В случае ограничения времени использования центрального процессора с помощью RES_CPU, когда мягкий предел превышен, процессу непрерывно подается специальный сигнал. Когда превышен жесткий предел, процесс завершается. Это единственное ограничение, использующее время в качестве аргумента, причем по умолчанию в миллисекундах. Однако время можно задать и в других единицах:

n  100s – 100 секунд

n  25m – 25 минут