2. EL 8
  3. policycoreutils
  4. selinux_config(5)

Scroll to navigation

selinux_config(5) Файл конфигурации SELinux selinux_config(5)

ИМЯ

config - файл конфигурации подсистемы SELinux.

ОПИСАНИЕ

Файл config SELinux управляет состоянием SELinux, определяя:

1.
Состояние применения политики - enforcing (принудительный режим), permissive (разрешительный режим) или disabled (отключена).
2.
Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.
3.
Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).
4.
Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.
5.
Следует ли повторно проставлять метки в системе.

Описание записей, которые управляют этими возможностями, приводится в разделе ФОРМАТ ФАЙЛА.

Полный путь к файлу конфигурации SELinux: /etc/selinux/config.

Если файл config отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён).

Команда sestatus (8) и функция libselinux selinux_path (3) возвращают расположение файла config.

ФОРМАТ ФАЙЛА

Файл config поддерживает следующие параметры:

SELINUX = enforcing | permissive | disabled
SELINUXTYPE = policy_name
SETLOCALDEFS = 0 | 1
REQUIREUSERS = 0 | 1
AUTORELABEL = 0 | 1

Где:
SELINUX

Эта запись может содержать одно из трёх значений:
Политика безопасности SELinux применяется.
Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться).
SELinux отключён, политика не загружена.

Значение записи можно узнать с помощью команды sestatus(8) или selinux_getenforcemode(3).

SELINUXTYPE

Запись policy_name используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации.

Значение записи можно узнать с помощью команды sestatus(8) или selinux_getpolicytype(3).

policy_name относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью selinux_path(3). Пример записи, полученной с помощью selinux_path(3):

/etc/selinux/

Затем к концу этой записи добавляется policy_name, и она становится корневым расположением политики, которое может быть получено с помощью selinux_policy_root_path(3). Пример полученной записи:

/etc/selinux/targeted

Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью selinux_binary_policy_path(3). Пример записи, полученной с помощью selinux_binary_policy_path(3):

/etc/selinux/targeted/policy/policy

По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды sestatus(8) или security_policyvers(3). Пример файла двоичной политики с версией:

/etc/selinux/targeted/policy/policy.24

SETLOCALDEFS

Эта запись устарела. Следует её удалить или задать для неё значение 0.

Если задано значение 1, selinux_mkload_policy(3) выполнит чтение логических переключателей (см. booleans(5)) и пользователей (см. local.users(5)) в локальной настройке.

REQUIRESEUSERS

Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле seusers(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл seusers.

Она проверяется функцией getseuserbyname(3), которая вызывается поддерживающими SELinux приложениями для входа, например, PAM(8).

Если задано значение 0 или отсутствует запись:

getseuserbyname(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux.

Если задано значение 1:

getseuserbyname(3) не удастся выполнить.

Описание работы getseuserbyname(3) содержится на соответствующей man-странице. Формат файла seusers показан в seusers(5).

AUTORELABEL

Эта необязательная запись позволяет повторно проставлять метки в файловой системе.

Если задано значение 0 и в корневом каталоге имеется файл с именем .autorelabel, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.

Если задано значение 1 или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл .autorelabel, в файловой системе с помощью fixfiles -F restore будут автоматически повторно проставлены метки.

В обоих случаях файл /.autorelabel будет удалён, чтобы предотвратить последующее повторное проставление меток.

ПРИМЕР

В этом примере показано минимальное содержимое файла config, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением policy_name 'targeted':

SELINUX = enforcing
SELINUXTYPE = targeted

СМОТРИТЕ ТАКЖЕ

selinux(8), sestatus(8), selinux_path(3), selinux_policy_root_path(3), selinux_binary_policy_path(3), getseuserbyname(3), PAM(8), fixfiles(8), selinux_mkload_policy(3), selinux_getpolicytype(3), security_policyvers(3), selinux_getenforcemode(3), seusers(5), booleans(5), local.users(5)

АВТОРЫ

Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.

18 ноября 2011 Security Enhanced Linux