table of contents
setrans.conf(5) | Документация по setrans.conf | setrans.conf(5) |
ИМЯ¶
setrans.conf - файл конфигурации преобразования для систем MCS/MLS SELinux
ОПИСАНИЕ¶
Файл конфигурации /etc/selinux/{SELINUXTYPE}/setrans.conf определяет способ, которым метки SELinux MCS/MLS преобразовываются в удобную для прочтения человеком форму с помощью внутренней службы mcstransd. Политики по умолчанию поддерживают 16 уровней конфиденциальности (от s0 до s15) и 1024 категории (от c0 до c1023). Если категорий несколько, их можно разделить запятыми (c0,c1,c3,c5), а диапазон категорий - сократить с помощью указания через точку (c0.c3,c5).
Ключевые слова¶
- Base
- когда объявляется база, ко всем последующим определениям меток конфиденциальности будут при преобразовании применяться модификаторы. Метки конфиденциальности, которые были определены до объявления базы, незамедлительно кэшируются, и к ним не применяются модификаторы; они используются в качестве прямого преобразования.
- Default
- определяет битовый диапазон категорий, который будет использоваться для обратных битов.
- Domain
- создаёт новый домен с указанным именем.
- Include
- прочитать и обработать содержимое указанного файла конфигурации.
- Join
- определяет символ, который используется для разделения участников группы модификаторов, когда указано более одного (например, USA/AUS).
- ModifierGroup
- средство группировки битовых определений категорий по тому, как они изменяют метку конфиденциальности.
- Prefix
- слова (слова), которое может предшествовать участнику (участникам) группы модификаторов (например, REL USA).
- Suffix
- слово (слова), которое может следовать за участником (участниками) группы модификаторов (например, USA EYES ONLY).
- Whitespace
- определяет набор допустимых пробельных символов, которые могут использоваться в преобразовываемой метке.
Примеры определения уровня конфиденциальности¶
- s0=SystemLow
- определяет преобразование s0 (минимального уровня конфиденциальности) без категорий в SystemLow.
- s15:c0.c1023=SystemHigh
- определяет преобразование s15:c0.c1023 в SystemHigh. c0.c1023 - сокращённое обозначение всех категорий. Уровень конфиденциальности и категории разделены двоеточием.
- s0-s15:c0.c1023=SystemLow-SystemHigh
- определяет преобразование диапазона s0-s15:c0.c1023 в SystemLow-SystemHigh. Два компонента диапазона разделены дефисом.
- s0:c0=PatientRecord
- определяет преобразование уровня конфиденциальности s0 с категорией c0 в PatientRecord.
- s0:c1=Accounting
- определяет преобразование уровня конфиденциальности s0 с категорией c1 в Accounting.
- s2:c1,c2,c3=Confidential3Categories
- s2:c1.c3=Confidential3Categories
- и то, и другое определяет преобразование уровня конфиденциальности s2 с категориями c1, c2 и c3 в Confidential3Categories.
- s5=TopSecret
- определяет преобразование уровня конфиденциальности s5 без категорий в TopSecret.
Примеры ограничения¶
- c0!c1
- если одновременно заданы биты категорий 0 и 1, ограничение не сработает и будет возвращён исходный контекст.
- c5.c9>c1
- если заданы биты категорий с 5 по 9, бит 1 также необходимо установить - иначе ограничение не сработает и будет возвращён исходный контекст.
- s1!c5,c9
- если заданы биты категорий с 5 по 9 и уровень конфиденциальности равен s1, ограничение не сработает и будет возвращён исходный контекст.
ФАЙЛЫ¶
/etc/selinux/{SELINUXTYPE}/setrans.conf
/usr/share/mcstrans/examples
СМОТРИТЕ ТАКЖЕ¶
selinux(8), mcs(8), mls(8), chcon(1)
АВТОРЫ¶
Написано
Joe Nall <joe@nall.com>.
Обновлено Ted
X. Toth <txtoth@gmail.com>.
Перевод на
русский
язык
выполнила
Герасименко
Олеся <gammaray@basealt.ru>.
13 июля 2010 | txtoth@gmail.com |