policycoreutils/man/ru/man5/selinux_config.5 - manifest_repos/selinux - Git at Google

 .TH "selinux_config" "5" "18 ноября 2011" "Security Enhanced Linux" "Файл конфигурации SELinux"

 .SH "ИМЯ"
 config \- файл конфигурации подсистемы SELinux.

 .SH "ОПИСАНИЕ"
 Файл \fIconfig\fR SELinux управляет состоянием SELinux, определяя:
 .RS
 .IP "1." 4
 Состояние применения политики \- \fIenforcing\fR (принудительный режим), \fIpermissive\fR (разрешительный режим) или \fIdisabled\fR (отключена).
 .IP "2." 4
 Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.
 .IP "3." 4
 Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).
 .IP "4." 4
 Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.
 .IP "5." 4
 Следует ли повторно проставлять метки в системе.
 .RE

 Описание записей, которые управляют этими возможностями, приводится в разделе \fBФОРМАТ ФАЙЛА\fR.
 .sp
 Полный путь к файлу конфигурации SELinux: \fI/etc/selinux/config\fR.
 .sp
 Если файл \fIconfig\fR отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён).
 .sp
 Команда \fBsestatus\fR (8) и функция libselinux \fBselinux_path\fR (3) возвращают расположение файла \fIconfig\fR.

 .SH "ФОРМАТ ФАЙЛА"
 Файл \fIconfig\fR поддерживает следующие параметры:
 .sp
 .RS
 \fBSELINUX = \fIenforcing\fR | \fIpermissive\fR | \fIdisabled\fR
 .br
 \fBSELINUXTYPE = \fIpolicy_name\fR
 .br
 \fBREQUIREUSERS = \fI0\fR | \fI1\fR
 .br
 \fBAUTORELABEL = \fI0\fR | \fI1\fR
 .RE
 .sp
 Где:
 .br
 .B SELINUX
 .RS
 Эта запись может содержать одно из трёх значений:
 .RS
 .IP \fIenforcing\fR 4
 Политика безопасности SELinux применяется.
 .IP \fIpermissive\fR 4
 Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться).
 .IP \fIdisabled\fR
 SELinux отключён, политика не загружена.
 .RE
 .sp
 Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getenforcemode\fR(3).
 .RE
 .sp
 .B SELINUXTYPE
 .RS
 Запись \fIpolicy_name\fR используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации.
 .sp
 Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getpolicytype\fR(3).
 .sp
 \fIpolicy_name\fR относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью \fBselinux_path\fR(3). Пример записи, полученной с помощью \fBselinux_path\fR(3):
 .br
 .RS
 .I /etc/selinux/
 .RE
 .sp
 Затем к концу этой записи добавляется \fIpolicy_name\fR, и она становится корневым расположением политики, которое может быть получено с помощью \fBselinux_policy_root_path\fR(3). Пример полученной записи:
 .RS
 .I /etc/selinux/targeted
 .RE
 .sp
 Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью \fBselinux_binary_policy_path\fR(3). Пример записи, полученной с помощью \fBselinux_binary_policy_path\fR(3):
 .br
 .RS
 .I /etc/selinux/targeted/policy/policy
 .RE
 .sp
 По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды \fBsestatus\fR(8) или \fBsecurity_policyvers\fR(3). Пример файла двоичной политики с версией:
 .br
 .RS
 .I /etc/selinux/targeted/policy/policy.24
 .RE
 .RE
 .sp
 .B REQUIRESEUSERS
 .RS
 Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле
 .BR seusers "(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл " seusers ". "
 .sp
 Она проверяется функцией \fBgetseuserbyname\fR(3), которая вызывается поддерживающими SELinux приложениями для входа, например, \fBPAM\fR(8).
 .sp
 Если задано значение \fI0\fR или отсутствует запись:
 .RS
 .BR getseuserbyname "(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux."
 .RE
 .sp
 Если задано значение \fI1\fR:
 .RS
 .BR getseuserbyname "(3) не удастся выполнить."
 .RE
 .sp
 Описание работы \fBgetseuserbyname\fR(3) содержится на соответствующей man-странице. Формат файла \fIseusers\fR показан в \fBseusers\fR(5).
 .sp
 .RE
 .sp
 .B AUTORELABEL
 .RS
 Эта необязательная запись позволяет повторно проставлять метки в файловой системе.
 .sp
 Если задано значение \fI0\fR и в корневом каталоге имеется файл с именем \fI.autorelabel\fR, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.
 .sp
 Если задано значение \fI1\fR или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл \fI.autorelabel\fR, в файловой системе с помощью \fBfixfiles \-F restore\fR будут автоматически повторно проставлены метки.
 .sp
 В обоих случаях файл \fI/.autorelabel\fR будет удалён, чтобы предотвратить последующее повторное проставление меток.
 .RE
 .sp

 .SH "ПРИМЕР"
 В этом примере показано минимальное содержимое файла \fIconfig\fR, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением \fIpolicy_name\fR 'targeted':
 .sp
 .RS
 SELINUX = enforcing
 .br
 SELINUXTYPE = targeted
 .RE

 .SH "СМОТРИТЕ ТАКЖЕ"
 .BR selinux "(8), " sestatus "(8), " selinux_path "(3), " selinux_policy_root_path "(3), " selinux_binary_policy_path "(3), " getseuserbyname "(3), " PAM "(8), " fixfiles "(8), " selinux_mkload_policy "(3), " selinux_getpolicytype "(3), " security_policyvers "(3), " selinux_getenforcemode "(3), " seusers "(5) "


 .SH АВТОРЫ
 Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.
	.TH "selinux_config" "5" "18 ноября 2011" "Security Enhanced Linux" "Файл конфигурации SELinux"

	.SH "ИМЯ"
	config \- файл конфигурации подсистемы SELinux.

	.SH "ОПИСАНИЕ"
	Файл \fIconfig\fR SELinux управляет состоянием SELinux, определяя:
	.RS
	.IP "1." 4
	Состояние применения политики \- \fIenforcing\fR (принудительный режим), \fIpermissive\fR (разрешительный режим) или \fIdisabled\fR (отключена).
	.IP "2." 4
	Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.
	.IP "3." 4
	Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).
	.IP "4." 4
	Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.
	.IP "5." 4
	Следует ли повторно проставлять метки в системе.
	.RE

	Описание записей, которые управляют этими возможностями, приводится в разделе \fBФОРМАТ ФАЙЛА\fR.
	.sp
	Полный путь к файлу конфигурации SELinux: \fI/etc/selinux/config\fR.
	.sp
	Если файл \fIconfig\fR отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён).
	.sp
	Команда \fBsestatus\fR (8) и функция libselinux \fBselinux_path\fR (3) возвращают расположение файла \fIconfig\fR.

	.SH "ФОРМАТ ФАЙЛА"
	Файл \fIconfig\fR поддерживает следующие параметры:
	.sp
	.RS
	\fBSELINUX = \fIenforcing\fR \| \fIpermissive\fR \| \fIdisabled\fR
	.br
	\fBSELINUXTYPE = \fIpolicy_name\fR
	.br
	\fBREQUIREUSERS = \fI0\fR \| \fI1\fR
	.br
	\fBAUTORELABEL = \fI0\fR \| \fI1\fR
	.RE
	.sp
	Где:
	.br
	.B SELINUX
	.RS
	Эта запись может содержать одно из трёх значений:
	.RS
	.IP \fIenforcing\fR 4
	Политика безопасности SELinux применяется.
	.IP \fIpermissive\fR 4
	Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться).
	.IP \fIdisabled\fR
	SELinux отключён, политика не загружена.
	.RE
	.sp
	Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getenforcemode\fR(3).
	.RE
	.sp
	.B SELINUXTYPE
	.RS
	Запись \fIpolicy_name\fR используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации.
	.sp
	Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getpolicytype\fR(3).
	.sp
	\fIpolicy_name\fR относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью \fBselinux_path\fR(3). Пример записи, полученной с помощью \fBselinux_path\fR(3):
	.br
	.RS
	.I /etc/selinux/
	.RE
	.sp
	Затем к концу этой записи добавляется \fIpolicy_name\fR, и она становится корневым расположением политики, которое может быть получено с помощью \fBselinux_policy_root_path\fR(3). Пример полученной записи:
	.RS
	.I /etc/selinux/targeted
	.RE
	.sp
	Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью \fBselinux_binary_policy_path\fR(3). Пример записи, полученной с помощью \fBselinux_binary_policy_path\fR(3):
	.br
	.RS
	.I /etc/selinux/targeted/policy/policy
	.RE
	.sp
	По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды \fBsestatus\fR(8) или \fBsecurity_policyvers\fR(3). Пример файла двоичной политики с версией:
	.br
	.RS
	.I /etc/selinux/targeted/policy/policy.24
	.RE
	.RE
	.sp
	.B REQUIRESEUSERS
	.RS
	Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле
	.BR seusers "(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл " seusers ". "
	.sp
	Она проверяется функцией \fBgetseuserbyname\fR(3), которая вызывается поддерживающими SELinux приложениями для входа, например, \fBPAM\fR(8).
	.sp
	Если задано значение \fI0\fR или отсутствует запись:
	.RS
	.BR getseuserbyname "(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux."
	.RE
	.sp
	Если задано значение \fI1\fR:
	.RS
	.BR getseuserbyname "(3) не удастся выполнить."
	.RE
	.sp
	Описание работы \fBgetseuserbyname\fR(3) содержится на соответствующей man-странице. Формат файла \fIseusers\fR показан в \fBseusers\fR(5).
	.sp
	.RE
	.sp
	.B AUTORELABEL
	.RS
	Эта необязательная запись позволяет повторно проставлять метки в файловой системе.
	.sp
	Если задано значение \fI0\fR и в корневом каталоге имеется файл с именем \fI.autorelabel\fR, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.
	.sp
	Если задано значение \fI1\fR или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл \fI.autorelabel\fR, в файловой системе с помощью \fBfixfiles \-F restore\fR будут автоматически повторно проставлены метки.
	.sp
	В обоих случаях файл \fI/.autorelabel\fR будет удалён, чтобы предотвратить последующее повторное проставление меток.
	.RE
	.sp

	.SH "ПРИМЕР"
	В этом примере показано минимальное содержимое файла \fIconfig\fR, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением \fIpolicy_name\fR 'targeted':
	.sp
	.RS
	SELINUX = enforcing
	.br
	SELINUXTYPE = targeted
	.RE

	.SH "СМОТРИТЕ ТАКЖЕ"
	.BR selinux "(8), " sestatus "(8), " selinux_path "(3), " selinux_policy_root_path "(3), " selinux_binary_policy_path "(3), " getseuserbyname "(3), " PAM "(8), " fixfiles "(8), " selinux_mkload_policy "(3), " selinux_getpolicytype "(3), " security_policyvers "(3), " selinux_getenforcemode "(3), " seusers "(5) "


	.SH АВТОРЫ
	Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.