| .TH "selinux_config" "5" "18 ноября 2011" "Security Enhanced Linux" "Файл конфигурации SELinux" |
| |
| .SH "ИМЯ" |
| config \- файл конфигурации подсистемы SELinux. |
| |
| .SH "ОПИСАНИЕ" |
| Файл \fIconfig\fR SELinux управляет состоянием SELinux, определяя: |
| .RS |
| .IP "1." 4 |
| Состояние применения политики \- \fIenforcing\fR (принудительный режим), \fIpermissive\fR (разрешительный режим) или \fIdisabled\fR (отключена). |
| .IP "2." 4 |
| Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации. |
| .IP "3." 4 |
| Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела). |
| .IP "4." 4 |
| Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux. |
| .IP "5." 4 |
| Следует ли повторно проставлять метки в системе. |
| .RE |
| |
| Описание записей, которые управляют этими возможностями, приводится в разделе \fBФОРМАТ ФАЙЛА\fR. |
| .sp |
| Полный путь к файлу конфигурации SELinux: \fI/etc/selinux/config\fR. |
| .sp |
| Если файл \fIconfig\fR отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён). |
| .sp |
| Команда \fBsestatus\fR (8) и функция libselinux \fBselinux_path\fR (3) возвращают расположение файла \fIconfig\fR. |
| |
| .SH "ФОРМАТ ФАЙЛА" |
| Файл \fIconfig\fR поддерживает следующие параметры: |
| .sp |
| .RS |
| \fBSELINUX = \fIenforcing\fR | \fIpermissive\fR | \fIdisabled\fR |
| .br |
| \fBSELINUXTYPE = \fIpolicy_name\fR |
| .br |
| \fBSETLOCALDEFS = \fI0\fR | \fI1\fR |
| .br |
| \fBREQUIREUSERS = \fI0\fR | \fI1\fR |
| .br |
| \fBAUTORELABEL = \fI0\fR | \fI1\fR |
| .RE |
| .sp |
| Где: |
| .br |
| .B SELINUX |
| .RS |
| Эта запись может содержать одно из трёх значений: |
| .RS |
| .IP \fIenforcing\fR 4 |
| Политика безопасности SELinux применяется. |
| .IP \fIpermissive\fR 4 |
| Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться). |
| .IP \fIdisabled\fR |
| SELinux отключён, политика не загружена. |
| .RE |
| .sp |
| Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getenforcemode\fR(3). |
| .RE |
| .sp |
| .B SELINUXTYPE |
| .RS |
| Запись \fIpolicy_name\fR используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации. |
| .sp |
| Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getpolicytype\fR(3). |
| .sp |
| \fIpolicy_name\fR относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью \fBselinux_path\fR(3). Пример записи, полученной с помощью \fBselinux_path\fR(3): |
| .br |
| .RS |
| .I /etc/selinux/ |
| .RE |
| .sp |
| Затем к концу этой записи добавляется \fIpolicy_name\fR, и она становится корневым расположением политики, которое может быть получено с помощью \fBselinux_policy_root_path\fR(3). Пример полученной записи: |
| .RS |
| .I /etc/selinux/targeted |
| .RE |
| .sp |
| Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью \fBselinux_binary_policy_path\fR(3). Пример записи, полученной с помощью \fBselinux_binary_policy_path\fR(3): |
| .br |
| .RS |
| .I /etc/selinux/targeted/policy/policy |
| .RE |
| .sp |
| По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды \fBsestatus\fR(8) или \fBsecurity_policyvers\fR(3). Пример файла двоичной политики с версией: |
| .br |
| .RS |
| .I /etc/selinux/targeted/policy/policy.24 |
| .RE |
| .RE |
| .sp |
| .B SETLOCALDEFS |
| .RS |
| Эта запись устарела. Следует её удалить или задать для неё значение \fI0\fR. |
| .sp |
| Если задано значение \fI1\fR, \fBselinux_mkload_policy\fR(3) выполнит чтение логических переключателей (см. \fBbooleans\fR(5)) и пользователей (см. \fBlocal.users\fR(5)) в локальной настройке. |
| .RE |
| .sp |
| .B REQUIRESEUSERS |
| .RS |
| Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле |
| .BR seusers "(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл " seusers ". " |
| .sp |
| Она проверяется функцией \fBgetseuserbyname\fR(3), которая вызывается поддерживающими SELinux приложениями для входа, например, \fBPAM\fR(8). |
| .sp |
| Если задано значение \fI0\fR или отсутствует запись: |
| .RS |
| .BR getseuserbyname "(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux." |
| .RE |
| .sp |
| Если задано значение \fI1\fR: |
| .RS |
| .BR getseuserbyname "(3) не удастся выполнить." |
| .RE |
| .sp |
| Описание работы \fBgetseuserbyname\fR(3) содержится на соответствующей man-странице. Формат файла \fIseusers\fR показан в \fBseusers\fR(5). |
| .sp |
| .RE |
| .sp |
| .B AUTORELABEL |
| .RS |
| Эта необязательная запись позволяет повторно проставлять метки в файловой системе. |
| .sp |
| Если задано значение \fI0\fR и в корневом каталоге имеется файл с именем \fI.autorelabel\fR, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе. |
| .sp |
| Если задано значение \fI1\fR или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл \fI.autorelabel\fR, в файловой системе с помощью \fBfixfiles \-F restore\fR будут автоматически повторно проставлены метки. |
| .sp |
| В обоих случаях файл \fI/.autorelabel\fR будет удалён, чтобы предотвратить последующее повторное проставление меток. |
| .RE |
| .sp |
| |
| .SH "ПРИМЕР" |
| В этом примере показано минимальное содержимое файла \fIconfig\fR, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением \fIpolicy_name\fR 'targeted': |
| .sp |
| .RS |
| SELINUX = enforcing |
| .br |
| SELINUXTYPE = targeted |
| .RE |
| |
| .SH "СМОТРИТЕ ТАКЖЕ" |
| .BR selinux "(8), " sestatus "(8), " selinux_path "(3), " selinux_policy_root_path "(3), " selinux_binary_policy_path "(3), " getseuserbyname "(3), " PAM "(8), " fixfiles "(8), " selinux_mkload_policy "(3), " selinux_getpolicytype "(3), " security_policyvers "(3), " selinux_getenforcemode "(3), " seusers "(5), " booleans "(5), " local.users "(5) " |
| |
| |
| .SH АВТОРЫ |
| Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>. |