ru/man5/selinux_config.5

     "selinux_config" "5" "18 ноября 2011" "Security Enhanced Linux" "Файл конфигурации SELinux"

 "ИМЯ"
config - файл конфигурации подсистемы SELinux.

 "ОПИСАНИЕ"
Файл config SELinux управляет состоянием SELinux, определяя:

 "1." 4
Состояние применения политики - enforcing (принудительный режим), permissive (разрешительный режим) или disabled (отключена).
 "2." 4
Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.
 "3." 4
Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).
 "4." 4
Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.
 "5." 4
Следует ли повторно проставлять метки в системе.


Описание записей, которые управляют этими возможностями, приводится в разделе ФОРМАТ ФАЙЛА.
Полный путь к файлу конфигурации SELinux: /etc/selinux/config.
Если файл config отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён).
Команда sestatus (8) и функция libselinux selinux_path (3) возвращают расположение файла config.

 "ФОРМАТ ФАЙЛА"
Файл config поддерживает следующие параметры:

SELINUX = enforcing | permissive | disabled

SELINUXTYPE = policy_name

REQUIREUSERS = 0 | 1

AUTORELABEL = 0 | 1

Где:

 SELINUX
Эта запись может содержать одно из трёх значений:

 enforcing 4
Политика безопасности SELinux применяется.
 permissive 4
Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться).
 disabled
SELinux отключён, политика не загружена.

Значение записи можно узнать с помощью команды sestatus(8) или selinux_getenforcemode(3).

 SELINUXTYPE
Запись policy_name используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации.
Значение записи можно узнать с помощью команды sestatus(8) или selinux_getpolicytype(3).
policy_name относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью selinux_path(3). Пример записи, полученной с помощью selinux_path(3):


 /etc/selinux/

Затем к концу этой записи добавляется policy_name, и она становится корневым расположением политики, которое может быть получено с помощью selinux_policy_root_path(3). Пример полученной записи:

 /etc/selinux/targeted

Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью selinux_binary_policy_path(3). Пример записи, полученной с помощью selinux_binary_policy_path(3):


 /etc/selinux/targeted/policy/policy

По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды sestatus(8) или security_policyvers(3). Пример файла двоичной политики с версией:


 /etc/selinux/targeted/policy/policy.24


 REQUIRESEUSERS
Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле
 seusers "(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл " seusers ". " Она проверяется функцией getseuserbyname(3), которая вызывается поддерживающими SELinux приложениями для входа, например, PAM(8).
Если задано значение 0 или отсутствует запись:

 getseuserbyname "(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux."

Если задано значение 1:

 getseuserbyname "(3) не удастся выполнить."

Описание работы getseuserbyname(3) содержится на соответствующей man-странице. Формат файла seusers показан в seusers(5).

 AUTORELABEL
Эта необязательная запись позволяет повторно проставлять метки в файловой системе.
Если задано значение 0 и в корневом каталоге имеется файл с именем .autorelabel, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.
Если задано значение 1 или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл .autorelabel, в файловой системе с помощью fixfiles -F restore будут автоматически повторно проставлены метки.
В обоих случаях файл /.autorelabel будет удалён, чтобы предотвратить последующее повторное проставление меток.


 "ПРИМЕР"
В этом примере показано минимальное содержимое файла config, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением policy_name 'targeted':

SELINUX = enforcing

SELINUXTYPE = targeted


 "СМОТРИТЕ ТАКЖЕ"
 selinux "(8), " sestatus "(8), " selinux_path "(3), " selinux_policy_root_path "(3), " selinux_binary_policy_path "(3), " getseuserbyname "(3), " PAM "(8), " fixfiles "(8), " selinux_mkload_policy "(3), " selinux_getpolicytype "(3), " security_policyvers "(3), " selinux_getenforcemode "(3), " seusers "(5) "

 АВТОРЫ
Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.