semanage(8) | semanage(8) |
НАЗВАНИЕ¶
semanage - Утилита управления политикой SELinux
СИНТАКСИС¶
semanage {login|user|port|interface|fcontext|translation} -l
[-n]
semanage login -{a|d|m} [-sr] login_name
semanage user -{a|d|m} [-LrRP] selinux_name
semanage port -{a|d|m} [-tr] [-p protocol] port | port_range
semanage interface -{a|d|m} [-tr] interface_spec
semanage fcontext -{a|d|m} [-frst] file_spec
semanage translation -{a|d|m} [-T] level
ОПИСАНИЕ¶
semanage
используется
для
настройки
некоторых
элементов
политики SELinux
без
необходимости
модификации
или
повторной
компиляции
исходного
текста
политики. В
число
таких
настроек
входит
сопоставление
имен
пользователей
Linux
пользователям
SELinux (которые
контролируют
исходный
контекст
безопасности,
присваиваемый
пользователям
Linux во время
их
регистрации
в системе, и
ограничивают
доступный
набор
ролей).
Также в
число
настраиваемых
элементов
входит
сопоставление
контекстов
безопасности
для
различных
видов
объектов,
таких как:
сетевые
порты,
интерфейсы,
сетевые
узлы (хосты),
а также
контексты
файлов. В
секции
ПРИМЕРЫ
можно
познакомиться
с
некоторыми
распространенным
примерами
использования
утилиты.Обратите
внимание,
что при
вызове
команды semanage login
сопоставляются
имена
пользователей
Linux (logins)
пользователям
SELinux. А при
вызове
команды semanage user
сопоставляются
пользователи
SELinux
доступному
набору
ролей.
В
большинстве
случаев
администратором
выполняется
настройка
только
первого
типа
сопоставлений.
Второй тип
сопоставлений
как
правило
определяется
базовой
политикой
и обычно не
требует
модификации.
ОПЦИИ¶
- -a, --add
- Добавить запись ОБЪЕКТА с заданным ИМЕНЕМ
- -d, --delete
- Удалить запись ОБЪЕКТА с заданным ИМЕНЕМ
- -f, --ftype
- Тип файла. Эта опция используется совместно с fcontext. Тип необходимо указывать в таком же виде, как и в выводе программы ls, иными словами -- указывает на обыкновенные файлы, а -d только на директории.
- -h, --help
- показать справку
- -l, --list
- Вывести список ОБЪЕКТОВ
-L, --level Уровень чувствительности SELinux по умолчанию, s0 по умолчанию (только для систем с поддержкой MLS/MCS).
- -m, --modify
- Изменить ОБЪЕКТ с заданным ИМЕНЕМ записи
- -n, --noheading
- Не выводить шапку таблицы при печати списка ОБЪЕКТОВ
- -p, --proto
- Протокол, используемый для указанного порта (tcp|udp).
- -r, --range
- Диапазон безопасности MLS/MCS (только для систем с поддержкой MLS/MCS)
- -R, --role
- Роли SELinux. При указании нескольких ролей нужно отделить их пробелами и заключить в кавычки или указывать опцию -R необходимое число раз.
- -P, --prefix
- Префикс SELinux. При установке меток на домашние директории пользователей префикс добавляется к home_dir_t и home_t.
- -s, --seuser
- Имя пользователя SELinux
- -t, --type
- Тип объекта SELinux
- -T, --trans
- Трансляция SELinux (SELinux Translation)
ПРИМЕРЫ¶
# Просмотреть сопоставления для пользователей SELinux $ semanage user -l # Разрешить joe регистрироваться как staff_u $ semanage login -a -s staff_u joe # Определить контекст файлов для всего, расположенного в /web (потом это определение используется утилитой restorecon) $ semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" # Разрешить демону Apache прослушивать порт с номером 81 $ semanage port -a -t http_port_t -p tcp 81
АВТОРЫ¶
Эту страницу руководства написали Daniel Walsh <dwalsh@redhat.com> и Russell Coker <rcoker@redhat.com>. Примеры - Thomas Bleher <ThomasBleher@gmx.de>. Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
2005111103 |