Grsecurity 安裝

從哪獲得grsecurity，以及管理工具gradm和Linux內核源代碼。

驗證包的真實性。

正確應用grsecurity補丁。

配置grsecurity內核選項（包括PaX設置）以及在執行此操做以前要考慮的內容。

如何使用和選擇發行版工具構建和安裝支持grsecurity的內核。

      如下來完成下載在系統上使用grsecurity所需的全部組件的過程。 將每一個組件下載到計算機上的同一目錄中。

grsecurity的最新穩定版本。

gradm的匹配版本，grsecurity的管理實用程序。

Linux內核的完整源代碼。

      擁有必要的程序來爲系統構建，配置和安裝自定義內核。 安裝的方法和工具取決於使用的Linux發行版。 若是在配置或安裝內核時遇到問題，請參閱有關發行版文檔。

下載grsecurity 

      在http://grsecurity.net/。單擊「下載」連接，而後選擇「穩定」或「測試」補丁（自2015年9月9日起，只有商業客戶才能得到穩定的grsecurity補丁）。只得爲內核3.2.50安裝最新的穩定grsecurity。所以，補丁文件將被稱爲「grsecurity-2.9.1-3.2.50-201308052151.patch」。

信息

     全部grsecurity包名有一個版本字符串。包含着和它的內核版本。如，字符串2.9.1-3.2.50-201308052151是grsecurity的版本版本號是2.9.1，適用於linux內核版本3.2.50。該版本的最後一部分是時間戳。

如下例子，下載瞭如下文件

grsecurity的-2.9.1-3.2.50-201308052151.patch

grsecurity-2.9.1-3.2.50-201308052151.patch.sig  - 這是此版本的數字簽名。

下載gradm 

     下載grsecurity基於角色的訪問控制系統的管理實用程序gradm時，必須下載與您下載的grsecurity修補程序版本相匹配的版本。 Gradm與grsecurity位於同一下載頁面。

如下例子，下載瞭如下文件：

gradm-2.9.1-201308021745.tar.gz

gradm-2.9.1-201308021745.tar.gz.sig  - 這是此版本的數字簽名。

下載Linux內核

     grsecurity補丁只能應用於vanilla內核。許多發行版使用其餘補丁修改官方內核，這意味着經過其包管理器獲取的任何內核源包極可能與grsecurity不兼容。

從http://www.kernel.org/下載官方未修改的內核。下載完整的內核源代碼包及其簽名（「.sign」文件），並確保其版本與您下載的grsecurity補丁的版本相匹配。

警告內核版本2.6.32.61的官方支持已於2013年末結束。

     若是您打開了終端，可使用如下命令將內核源代碼和簽名下載到當前工做目錄：

$ wget https://www.kernel.org/pub/linux/kernel/v3.x/linux-3.2.50.tar.bz2

$ wget https://www.kernel.org/pub/linux/kernel/v3.x/linux-3.2.50.tar.sign

注意：grsecurity補丁和內核的版本必須徹底匹配。

驗證下載

     grsecurity和gradm包已經加密簽名，用戶能夠驗證源代碼自打包以來是否未被修改。 能夠在grsecurity下載頁面中找到用於簽名的公鑰。 向下滾動頁面，有「使用GPG驗證這些下載」標題。 下方是公鑰的連接。 將密鑰下載到grsecurity的目錄。

     驗證以前，需使用Gnu Privacy Guard（GPG）將grsecurity密鑰導入您的公共密鑰環。 有關GPG請百度。導入密鑰，在grsecurity及其密鑰的目錄中運行下面命令。

$ gpg --import spender-gpg-key.asc
gpg: key 4245D46A: public key "Bradley Spengler (spender) <spender@grsecurity.net>" imported
gpg: Total number processed: 1
gpg:               imported: 1

 導入密鑰後，在grsecurity目錄中運行如下命令來驗證下載的grsecurity和gradm軟件包：

$ gpg --verify grsecurity-2.9.1-3.2.50-201308052151.patch.sig
gpg: Signature made Mon 05 Aug 2013 06:55:44 PM PDT using DSA key ID 4245D46A
gpg: Good signature from "Bradley Spengler (spender) <spender@grsecurity.net>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 9F74 393D 7E7F FF3C 6500  E778 9879 B649 4245 D46A
$ gpg --verify gradm-2.9.1-201308021745.tar.gz.sig
gpg: Signature made Fri 02 Aug 2013 02:45:37 PM PDT using DSA key ID 4245D46A
gpg: Good signature from "Bradley Spengler (spender) <spender@grsecurity.net>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 9F74 393D 7E7F FF3C 6500  E778 9879 B649 4245 D46A

 如下是簽名驗證失敗的案例。 修補程序文件是故意修改的，以便驗證失敗。

$ gpg --verify grsecurity-2.9.1-3.2.50-201308052151.patch.sig
gpg: Signature made Mon 05 Aug 2013 06:55:44 PM PDT using DSA key ID 4245D46A
gpg: BAD signature from "Bradley Spengler (spender) <spender@grsecurity.net>"

     GPG報告簽名是好的，密鑰未經過可信簽名認證的警告。 使用本身的密鑰簽署了grsecurity密鑰，則不會收到警告。 若是任一文件的驗證失敗（即，「BAD簽名」消息），請從新下載相關文件並再試一次。

     Linux核心源包也已簽名。 請按照Linux內核網站上的說明驗證內核源代碼包。成功驗證下載文件後，便可配置grsecurity。