2. EL 8
  3. policycoreutils
  4. setfiles(8)

Scroll to navigation

setfiles(8) Команда пользователя SELinux setfiles(8)

ИМЯ

setfiles - установить SELinux-контексты безопасности файлов.

ОБЗОР

setfiles [-c policy] [-d] [-l] [-m] [-n] [-e directory] [-p] [-s] [-v] [-W] [-F] [-I|-D] spec_file pathname ...

ОПИСАНИЕ

На этой странице руководства приводится описание программы setfiles.

Эта программа используется в основном для инициализации полей контекста безопасности (расширенных атрибутов) в одной или нескольких файловых системах (или их частях). Обычно она впервые запускается как часть процесса установки SELinux (этап, который называется проставлением меток).

Также можно запустить её в любой другой момент, чтобы исправить некорректные метки, добавить поддержку для недавно установленной политики или, используя параметр -n , пассивно проверить, соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию) или в какой-либо другой политике (см. параметр -c ).

Если объект файла не имеет контекста, setfiles запишет контекст по умолчанию в расширенные атрибуты объекта файла. Если объект файла имеет контекст, setfiles изменит только ту часть контекста безопасности, которая относится к типу. Параметр -F позволяет принудительно заменить контекст целиком.

ПАРАМЕТРЫ

проверить действительность контекстов относительно указанной двоичной политики.
показать, какая спецификация соответствует каждому из файлов.
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать соответствующее количество раз).
infilename содержит список файлов для обработки. Используйте “-” для stdin.
принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а также тип).
показать сведения об использовании и выйти.
игнорировать файлы, которые не существуют.
игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе ПРИМЕЧАНИЯ.
установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута security.restorecon_last.
записывать изменения меток файлов в системный журнал.
не выполнять чтение /proc/mounts для получения списка монтирований без seclabel, которые следует исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге смонтирована файловая система с seclabel.
не изменять метки файлов (пассивная проверка).
этот параметр устарел и больше не поддерживается.
показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите внимание, что параметры -p и -v являются взаимоисключающими.
этот параметр устарел, ранее использовался для прекращения вывода параметров ассоциаций индексных дескрипторов (inode).
использовать альтернативный корневой путь. Используется в meta-selinux для сборок OpenEmbedded/Yocto, чтобы проставить метки для файлов в каталоге rootpath таким образом, как если бы они были в /
взять список файлов из стандартного ввода, а не использовать путь из командной строки (эквивалентно “-f -” ).
показать изменения меток для файлов и вывести параметры ассоциаций индексных дескрипторов (inode). Обратите внимание, что параметры -v и -p являются взаимоисключающими.
показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью вывода результатов selabel_stats(3).
-0
предполагается, что разделителем для элементов ввода является символ нуля (вместо пробела). Символы кавычек и обратной косой черты также считаются обычными символами, которые могут формировать допустимый ввод. Этот параметр также отключает строку конца файла (end-of-file string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий для этого режима.

АРГУМЕНТЫ

Файл спецификации, содержащий строки следующего вида:

regexp [type] context | <<none>>
Регулярное выражение привязывается с обоих концов. Необязательное поле type указывает тип файла (показывается в поле режима по команде ls(1) ), например, -- для соответствия только обычным файлам или -d для соответствия только каталогам. context может быть обычным контекстом безопасности или строкой <<none>> (чтобы указать, что контекст файла не следует изменять).
Используется последняя соответствующая спецификация. Если на файл имеется несколько жёстких ссылок, которые соответствуют разным спецификациям, и эти спецификации означают разные контексты безопасности, будет показано предупреждение, но для файла всё равно будет проставлена метка на основе последней соответствующей спецификации, отличной от <<none>>.
Путь к корневому каталогу каждой файловой системы, в которой следует повторно проставить метки, или конкретный каталог в файловой системе, по которому следует рекурсивно спуститься и повторно проставить метки, или путь к файлу, для которого следует повторно проставить метку. Не используется, если используется параметр -f или -s .

ПРИМЕЧАНИЯ

1.
setfiles следует по символическим ссылкам и рекурсивно применяется к каталогам.
2.
Если в pathname указан корневой каталог, установлен параметр -v , а также запущена система аудита, в журнал с меткой сообщения FS_RELABEL автоматически записывается событие аудита, которое содержит сообщение о том, что произошло "массовое повторное проставление меток".
3.
Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах используется параметр -D команды setfiles . Он обеспечивает сохранение дайджеста SHA1 файла спецификации spec_file в расширенном атрибуте с именем security.restorecon_last для каталога, указанного в соответствующем пути pathname ... , после успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда setfiles -D будет перезапущена с теми же параметрами spec_file и pathname Подробные сведения доступны в selinux_restorecon(3).

Параметр -I позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в pathname ... , и, при условии, что НЕ установлен параметр -n , для файлов будут необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).

СМОТРИТЕ ТАКЖЕ

restorecon(8), load_policy(8), checkpolicy(8)

АВТОРЫ

Эта man-страница была написана Russell Coker <russell@coker.com.au>. Программа была написана Stephen Smalley <sds@tycho.nsa.gov>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>

10 июня 2016