ИМЯ
config - файл конфигурации подсистемы SELinux.
ОПИСАНИЕ
Файл config SELinux управляет состоянием SELinux, определяя:
1. |
Состояние применения политики - enforcing (принудительный режим), permissive (разрешительный режим) или disabled (отключена). | ||
2. |
Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации. | ||
3. |
Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела). | ||
4. |
Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux. | ||
5. |
Следует ли повторно проставлять метки в системе. |
Описание записей, которые управляют этими возможностями, приводится в разделе ФОРМАТ ФАЙЛА.
Полный путь к файлу конфигурации SELinux: /etc/selinux/config.
Если файл config отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён).
Команда sestatus (8) и функция libselinux selinux_path (3) возвращают расположение файла config.
ФОРМАТ ФАЙЛА
Файл config поддерживает следующие параметры:
SELINUX
= enforcing | permissive | disabled
SELINUXTYPE = policy_name
REQUIRESEUSERS = 0 | 1
AUTORELABEL = 0 | 1
Где:
SELINUX
Эта запись может содержать одно из трёх значений:
enforcing
Политика безопасности SELinux применяется.
permissive
Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться).
disabled
SELinux отключён, политика не загружена.
Значение записи можно узнать с помощью команды sestatus(8) или selinux_getenforcemode(3).
SELINUXTYPE
Запись policy_name используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации.
Значение записи можно узнать с помощью команды sestatus(8) или selinux_getpolicytype(3).
policy_name относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью selinux_path(3). Пример записи, полученной с помощью selinux_path(3):
/etc/selinux/
Затем к концу этой записи добавляется policy_name, и она становится корневым расположением политики, которое может быть получено с помощью selinux_policy_root_path(3). Пример полученной записи:
/etc/selinux/targeted
Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью selinux_binary_policy_path(3). Пример записи, полученной с помощью selinux_binary_policy_path(3):
/etc/selinux/targeted/policy/policy
По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды sestatus(8) или security_policyvers(3). Пример файла двоичной политики с версией:
/etc/selinux/targeted/policy/policy.24
REQUIRESEUSERS
Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле seusers(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл seusers.
Она проверяется функцией getseuserbyname(3), которая вызывается поддерживающими SELinux приложениями для входа, например, PAM(8).
Если задано значение 0 или отсутствует запись:
getseuserbyname(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux.
Если задано значение 1:
getseuserbyname(3) не удастся выполнить.
Описание работы getseuserbyname(3) содержится на соответствующей man-странице. Формат файла seusers показан в seusers(5).
AUTORELABEL
Эта необязательная запись позволяет повторно проставлять метки в файловой системе.
Если задано значение 0 и в корневом каталоге имеется файл с именем .autorelabel, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.
Если задано значение 1 или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл .autorelabel, в файловой системе с помощью fixfiles -F restore будут автоматически повторно проставлены метки.
В обоих случаях файл /.autorelabel будет удалён, чтобы предотвратить последующее повторное проставление меток.
ПРИМЕР
В этом примере показано минимальное содержимое файла config, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением policy_name ’targeted’:
SELINUX =
enforcing
SELINUXTYPE = targeted
СМОТРИТЕ ТАКЖЕ
selinux(8), sestatus(8), selinux_path(3), selinux_policy_root_path(3), selinux_binary_policy_path(3), getseuserbyname(3), PAM(8), fixfiles(8), selinux_mkload_policy(3), selinux_getpolicytype(3), security_policyvers(3), selinux_getenforcemode(3), seusers(5)
АВТОРЫ
Перевод на русский язык выполнила Герасименко Олеся <gammaray [AT] basealt.ru>.