You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

107 lines
8.5 KiB

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

.TH "selinux" "8" "29 апреля 2005" "dwalsh@redhat.com" "Документация по командной строке SELinux"
.SH "ИМЯ"
SELinux \- Linux с улучшенной безопасностью от NSA (SELinux)
.
.SH "ОПИСАНИЕ"
Linux с улучшенной безопасностью от NSA - это реализация гибкой архитектуры мандатного
управления доступом в операционной системе Linux. Архитектура SELinux предоставляет
общую поддержку использования различных видов политик мандатного управления доступом,
включая основанные на концепциях Type Enforcement® (принудительное присвоение типов),
Role-Based Access Control (управление доступом на основе ролей) и Multi-Level Security
(многоуровневая безопасность). Дополнительная информация и техническая документация по
SELinux доступна по адресу https://github.com/SELinuxProject.
Файл конфигурации
.I /etc/selinux/config
позволяет управлять включением и отключением SELinux и, если SELinux включён,
устанавливать режим его работы - разрешительный или принудительный. Переменной
.B SELINUX
можно задать значение отключённой, разрешительной или принудительной, чтобы выбрать
один из этих вариантов. Если выбрать отключение режима, код ядра и приложения SELinux
будет полностью отключён, система будет работать без какой-либо защиты SELinux.
При установке разрешительного режима код SELinux включён, но не выполняет отказы в
доступе, а только журналирует те действия, которые были бы запрещены при
принудительном режиме. При установке принудительного режима код SELinux включён,
выполняет отказы в доступе и журналирует соответствующие попытки доступа. Набор
отказов в доступе в разрешительном режиме может отличаться от этого набора в
принудительном режиме как по причине того, что принудительный режим предотвращает
дальнейшее выполнение операции после первого отказа, так и из-за того, что после
получения отказа в доступе часть кода приложения вернётся к работе в менее
привилегированном режиме.
Файл конфигурации
.I /etc/selinux/config
также управляет тем, какая политика активна в системе. SELinux позволяет установить
в системе несколько политик, но одновременно можно использовать только одну из них.
В настоящее время имеется несколько видов политики SELinux, например, целевая политика
(targeted), политика многоуровневой безопасности (mls). Целевая политика позволяет
большинству процессов пользователя выполняться без ограничений, помещая в отдельные
домены безопасности, ограниченные политикой, только отдельные службы. Например, процессы
пользователя выполняются в никак не ограниченном домене, в то время как именованная
управляющая программа или управляющая программа apache будет выполняться в отдельном
специально настроенном домене. Если используется политика MLS (Multi-Level Security),
все процессы будут разделены по детально настроенным доменам безопасности и ограничены
политикой. MLS также поддерживает модель Белла — Лападулы, в которой процессы
ограничиваются не только по типу, но и по уровню данных.
Чтобы определить, какая политика будет выполняться, следует установить переменную среды
.B SELINUXTYPE
в
.IR /etc/selinux/config .
Чтобы применить к системе изменение типа политики, необходимо перезагрузить систему и,
возможно, повторно проставить метки. В каталогах
.I /etc/selinux/{SELINUXTYPE}/
необходимо установить для каждой такой политики соответствующую конфигурацию.
Дальнейшую настройку отдельной политики SELinux можно выполнить с помощью набора настраиваемых
при компиляции параметров и набора логических переключателей среды выполнения политики.
.B \%system\-config\-selinux
позволяет настроить эти логические переключатели и настраиваемые параметры.
Многие домены, которые защищены SELinux, также содержат man-страницы SELinux с информацией
о настройке соответствующей политики.
.
.SH "ПРОСТАВЛЕНИЕ МЕТОК ДЛЯ ФАЙЛОВ"
Всем файлам, каталогам, устройствам ... назначены контексты безопасности/метки. Эти контексты хранятся в расширенных атрибутах файловой системы.
Проблемы с SELinux часто возникают из-за неправильного проставления меток в файловой системе. Это может быть вызвано загрузкой компьютера с ядром, отличным от SELinux. Появление сообщения об ошибке, содержащего file_t, обычно означает серьёзную проблему с проставлением меток в файловой системе.
Лучшим способом повторного проставления меток в файловой системе является создание файла флага
.I /.autorelabel
и последующая перезагрузка.
.BR system\-config\-selinux
также имеет эту функциональность. Кроме того, для повторного проставления меток для файлов можно использовать команды
.BR restorecon / fixfiles.
.
.SH ФАЙЛЫ
.I /etc/selinux/config
.
.SH "СМОТРИТЕ ТАКЖЕ"
.ad l
.nh
.BR booleans (8),
.BR setsebool (8),
.BR sepolicy (8),
.BR system-config-selinux (8),
.BR togglesebool (8),
.BR restorecon (8),
.BR fixfiles (8),
.BR setfiles (8),
.BR semanage (8),
.BR sepolicy (8)
Для каждой ограниченной службы в системе имеется man-cтраница следующего формата:
.br
.BR <servicename>_selinux (8)
Например, для службы httpd имеется страница
.BR httpd_selinux (8).
.B man -k selinux
Выведет список всех man-страниц SELinux.
.SH АВТОРЫ
Эта страница руководства была написана Dan Walsh <dwalsh@redhat.com>.
Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.