table of contents
selinux_config(5) | Файл конфигурации SELinux | selinux_config(5) |
ИМЯ¶
config - файл конфигурации подсистемы SELinux.
ОПИСАНИЕ¶
Файл config SELinux управляет состоянием SELinux, определяя:
- 1.
- Состояние применения политики - enforcing (принудительный режим), permissive (разрешительный режим) или disabled (отключена).
- 2.
- Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.
- 3.
- Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).
- 4.
- Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.
- 5.
- Следует ли повторно проставлять метки в системе.
Описание записей, которые управляют этими возможностями, приводится в разделе ФОРМАТ ФАЙЛА.
Полный путь к файлу конфигурации SELinux: /etc/selinux/config.
Если файл config отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён).
Команда sestatus (8) и функция libselinux selinux_path (3) возвращают расположение файла config.
ФОРМАТ ФАЙЛА¶
Файл config поддерживает следующие параметры:
SELINUXTYPE = policy_name
REQUIRESEUSERS = 0 | 1
AUTORELABEL = 0 | 1
Где:
SELINUX
- enforcing
- Политика безопасности SELinux применяется.
- permissive
- Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться).
- disabled
- SELinux отключён, политика не загружена.
Значение записи можно узнать с помощью команды sestatus(8) или selinux_getenforcemode(3).
SELINUXTYPE
Значение записи можно узнать с помощью команды sestatus(8) или selinux_getpolicytype(3).
policy_name
относится
к пути,
который
определён
внутри
подсистемы
SELinux и может
быть
получен с
помощью
selinux_path(3). Пример
записи,
полученной
с помощью
selinux_path(3):
Затем к концу этой записи добавляется policy_name, и она становится корневым расположением политики, которое может быть получено с помощью selinux_policy_root_path(3). Пример полученной записи:
Фактическая
двоичная
политика
расположена
относительно
этого
каталога и
также
имеет
предварительно
выделенное
имя
политики.
Эту
информацию
можно
получить с
помощью
selinux_binary_policy_path(3).
Пример
записи,
полученной
с помощью
selinux_binary_policy_path(3):
По
соглашению
к концу
имени
двоичной
политики
добавляется
версия
политики SELinux,
которую
она
поддерживает.
Максимальную
версию
политики,
поддерживаемую
ядром,
можно
определить
с помощью
команды sestatus(8)
или security_policyvers(3).
Пример
файла
двоичной
политики с
версией:
REQUIRESEUSERS
Она проверяется функцией getseuserbyname(3), которая вызывается поддерживающими SELinux приложениями для входа, например, PAM(8).
Если задано значение 0 или отсутствует запись:
Если задано значение 1:
Описание работы getseuserbyname(3) содержится на соответствующей man-странице. Формат файла seusers показан в seusers(5).
AUTORELABEL
Если задано значение 0 и в корневом каталоге имеется файл с именем .autorelabel, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.
Если задано значение 1 или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл .autorelabel, в файловой системе с помощью fixfiles -F restore будут автоматически повторно проставлены метки.
В обоих случаях файл /.autorelabel будет удалён, чтобы предотвратить последующее повторное проставление меток.
ПРИМЕР¶
В этом примере показано минимальное содержимое файла config, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением policy_name 'targeted':
SELINUXTYPE = targeted
СМОТРИТЕ ТАКЖЕ¶
selinux(8), sestatus(8), selinux_path(3), selinux_policy_root_path(3), selinux_binary_policy_path(3), getseuserbyname(3), PAM(8), fixfiles(8), selinux_mkload_policy(3), selinux_getpolicytype(3), security_policyvers(3), selinux_getenforcemode(3), seusers(5)
АВТОРЫ¶
Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.
18 ноября 2011 | Security Enhanced Linux |