| .TH "selinux" "8" "29 апреля 2005" "dwalsh@redhat.com" "Документация по командной строке SELinux" |
| .SH "ИМЯ" |
| SELinux \- Linux с улучшенной безопасностью от NSA (SELinux) |
| . |
| .SH "ОПИСАНИЕ" |
| Linux с улучшенной безопасностью от NSA - это реализация гибкой архитектуры мандатного |
| управления доступом в операционной системе Linux. Архитектура SELinux предоставляет |
| общую поддержку использования различных видов политик мандатного управления доступом, |
| включая основанные на концепциях Type Enforcement® (принудительное присвоение типов), |
| Role-Based Access Control (управление доступом на основе ролей) и Multi-Level Security |
| (многоуровневая безопасность). Дополнительная информация и техническая документация по |
| SELinux доступна по адресу https://github.com/SELinuxProject. |
| |
| Файл конфигурации |
| .I /etc/selinux/config |
| позволяет управлять включением и отключением SELinux и, если SELinux включён, |
| устанавливать режим его работы - разрешительный или принудительный. Переменной |
| .B SELINUX |
| можно задать значение отключённой, разрешительной или принудительной, чтобы выбрать |
| один из этих вариантов. Если выбрать отключение режима, код ядра и приложения SELinux |
| будет полностью отключён, система будет работать без какой-либо защиты SELinux. |
| При установке разрешительного режима код SELinux включён, но не выполняет отказы в |
| доступе, а только журналирует те действия, которые были бы запрещены при |
| принудительном режиме. При установке принудительного режима код SELinux включён, |
| выполняет отказы в доступе и журналирует соответствующие попытки доступа. Набор |
| отказов в доступе в разрешительном режиме может отличаться от этого набора в |
| принудительном режиме как по причине того, что принудительный режим предотвращает |
| дальнейшее выполнение операции после первого отказа, так и из-за того, что после |
| получения отказа в доступе часть кода приложения вернётся к работе в менее |
| привилегированном режиме. |
| |
| Файл конфигурации |
| .I /etc/selinux/config |
| также управляет тем, какая политика активна в системе. SELinux позволяет установить |
| в системе несколько политик, но одновременно можно использовать только одну из них. |
| В настоящее время имеется несколько видов политики SELinux, например, целевая политика |
| (targeted), политика многоуровневой безопасности (mls). Целевая политика позволяет |
| большинству процессов пользователя выполняться без ограничений, помещая в отдельные |
| домены безопасности, ограниченные политикой, только отдельные службы. Например, процессы |
| пользователя выполняются в никак не ограниченном домене, в то время как именованная |
| управляющая программа или управляющая программа apache будет выполняться в отдельном |
| специально настроенном домене. Если используется политика MLS (Multi-Level Security), |
| все процессы будут разделены по детально настроенным доменам безопасности и ограничены |
| политикой. MLS также поддерживает модель Белла — Лападулы, в которой процессы |
| ограничиваются не только по типу, но и по уровню данных. |
| |
| Чтобы определить, какая политика будет выполняться, следует установить переменную среды |
| .B SELINUXTYPE |
| в |
| .IR /etc/selinux/config . |
| Чтобы применить к системе изменение типа политики, необходимо перезагрузить систему и, |
| возможно, повторно проставить метки. В каталогах |
| .I /etc/selinux/{SELINUXTYPE}/ |
| необходимо установить для каждой такой политики соответствующую конфигурацию. |
| |
| Дальнейшую настройку отдельной политики SELinux можно выполнить с помощью набора настраиваемых |
| при компиляции параметров и набора логических переключателей среды выполнения политики. |
| .B \%system\-config\-selinux |
| позволяет настроить эти логические переключатели и настраиваемые параметры. |
| |
| Многие домены, которые защищены SELinux, также содержат man-страницы SELinux с информацией |
| о настройке соответствующей политики. |
| . |
| .SH "ПРОСТАВЛЕНИЕ МЕТОК ДЛЯ ФАЙЛОВ" |
| Всем файлам, каталогам, устройствам ... назначены контексты безопасности/метки. Эти контексты хранятся в расширенных атрибутах файловой системы. |
| Проблемы с SELinux часто возникают из-за неправильного проставления меток в файловой системе. Это может быть вызвано загрузкой компьютера с ядром, отличным от SELinux. Появление сообщения об ошибке, содержащего file_t, обычно означает серьёзную проблему с проставлением меток в файловой системе. |
| |
| Лучшим способом повторного проставления меток в файловой системе является создание файла флага |
| .I /.autorelabel |
| и последующая перезагрузка. |
| .BR system\-config\-selinux |
| также имеет эту функциональность. Кроме того, для повторного проставления меток для файлов можно использовать команды |
| .BR restorecon / fixfiles. |
| . |
| .SH ФАЙЛЫ |
| .I /etc/selinux/config |
| . |
| .SH "СМОТРИТЕ ТАКЖЕ" |
| .ad l |
| .nh |
| .BR booleans (8), |
| .BR setsebool (8), |
| .BR sepolicy (8), |
| .BR system-config-selinux (8), |
| .BR togglesebool (8), |
| .BR restorecon (8), |
| .BR fixfiles (8), |
| .BR setfiles (8), |
| .BR semanage (8), |
| .BR sepolicy (8) |
| |
| Для каждой ограниченной службы в системе имеется man-cтраница следующего формата: |
| .br |
| |
| .BR <servicename>_selinux (8) |
| |
| Например, для службы httpd имеется страница |
| .BR httpd_selinux (8). |
| |
| .B man -k selinux |
| |
| Выведет список всех man-страниц SELinux. |
| |
| .SH АВТОРЫ |
| Эта страница руководства была написана Dan Walsh <dwalsh@redhat.com>. |
| Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>. |
