Чтобы получить новое расширение -rsbac вводим:

# touch Makefile

И компилируем ядро:

# make dep bzImage modules modules_install

Копируем получившееся ядро в /boot и конфигурируем загрузчик.

До версии 1.0.9b перед загрузкой с новым ядром необходимо было обязательно установить утилиты администрирования rsbac-admin, при этом создавался каталог /rsbac для каждой примонтированной файловой системы со специальным файлом useraci. Сейчас данный каталог автоматически создается ядром, а при отсутствии файла useraci используются настройки по умолчанию.

Но почему бы не установить утилиты сейчас. Для этого распаковываем их в любой каталог.

# tar xvzf rsbac-admin-v1.2.2.tar.gz.

# cd  rsbac-admin-v1.2.2

# ./configure (если используется ядро, находящееся в каталоге, отличном от /usr/src/linux, его местонахождение указываем

при помощи –with-kerneldir)

# make && make install

Примечание: для работы очень желательна утилита dialog не ниже версии 0.9, ее взять можно тут же на http://www.rsbac.org/dialog/dialog-0.9b-20020814.tar.gz.

И теперь нужно создать две дополнительные учетные записи. Первая – офицер безопасности – secoff (security officer/RC role admin/ACL Supervisor), и в файле /etc/passwd установить его uid равным 400. И если вы будете использовать модуль privacy module (PM), то и офицер защиты информации – dataprot (data protection officer) с uid 401. Которые теперь понадобятся для администрирования – root уже не будет достаточно. При необходимоcти изменить заданные по умолчанию числа uid, это можно сделать в макросах RSBAC_SECOFF_UID и RSBAC_DATAPROT_UID в include/rsbac/types.h. Или при конфигурировании ядра в соответствующих опциях.

Все теперь готово для первой загрузки, при которой система выдаст большое количество сообщений о невозможности запуска тех или иных сервисов. Интересно, что теперь в систему может попасть пока только root, и все потому, что программа входа в систему /bin/login имеет недостаточные права изменить владельца процесса (setuid). Но root в данном случае уже абсолютно бесполезен, он может по-прежнему запускать сервисы, монтировать диски, т.е. заниматься непосредственно администрированием системы, а вот изменить доступ к программам уже не может. Все это теперь возложено на плечи совсем другого пользователя – secoff. Причем сменить root на этого пользователя тоже не удастся.