Ручная настройка ACL происходит следующим образом.

n  Активируем GRSecurity:

# gradm –E

n  Ждем некоторое время (для начала – несколько секунд).

n  Отключаем GRSecurity:

# gradm –D

n  Смотрим протокол ядра, в моем случае – /var/log/kern.log. В нем будут примерно такие записи:

Jul 22 14:57:00 admin kernel: grsec: Loaded grsecurity 2.0

Jul 22 14:57:02 admin kernel: grsec: denied access to hidden file /bin/ping by /bin/bash[bash:9717] uid/euid:0/0 gid/egid:0/0, parent /bin/su[su:14540] uid/euid:0/0 gid/egid:0/0

Jul 22 14:57:02 admin kernel: grsec: use of CAP_DAC_OVERRIDE denied for /bin/bash[bash:9717] uid/euid:0/0 gid/egid:0/0, parent /bin/su[su:14540] uid/euid:0/0 gid/egid:0/0

Jul 22 14:57:02 admin kernel: grsec: use of CAP_DAC_READ_SEARCH denied for /bin/bash[bash:9717] uid/euid:0/0 gid/egid:0/0, parent /bin/su[su:14540] uid/euid:0/0 gid/egid:0/0

Jul 22 14:57:05 admin kernel: grsec: denied access to hidden file /etc/ld.so.preload by /sbin/gradm[gradm:30057] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:9717] uid/euid:0/0 gid/egid:0/0

Jul 22 14:57:10 admin kernel: grsec: shutdown auth success for /sbin/gradm[gradm:30057] uid/euid:0/0 gid/egid:0/0, parent /bin/bash[bash:9717] uid/euid:0/0 gid/egid:0/0

После анализа логов исправляем /etc/grsec/acl и начинаем все сначала.

Для справки – ACL на моем сервере составляет 2500 строк. В качестве примера приведу ACL для mysql. В моем случае mysql работает из-под пользователя mysql, посему необходима отдельная пользовательская роль:

role mysql u

subject /  {

        /                               h

        -CAP_ALL

        bind    disabled

        connect disabled

}

subject /usr/sbin/mysqld o {