.TH "netlabelctl" 8 "31 мая 2013" "paul@paul-moore.com" "Документация по NetLabel"
.\" //////////////////////////////////////////////////////////////////////////
.SH ИМЯ
.\" //////////////////////////////////////////////////////////////////////////
netlabelctl \- утилита управления NetLabel
.\" //////////////////////////////////////////////////////////////////////////
.SH ОБЗОР
.\" //////////////////////////////////////////////////////////////////////////
.B netlabelctl
[<global_flags>] <module> [<module_commands>]
.\" //////////////////////////////////////////////////////////////////////////
.SH ОПИСАНИЕ
.\" //////////////////////////////////////////////////////////////////////////
.P
Утилита управления NetLabel, netlabelctl, это программа командной строки, которая
позволяет системным администраторам настраивать систему NetLabel в ядре. Утилита основана на различных "модулях", которые соответствуют различным типам поддерживаемых ядром команд NetLabel.
.\" //////////////////////////////////////////////////////////////////////////
.SH ПАРАМЕТРЫ
.\" //////////////////////////////////////////////////////////////////////////
.SS Глобальные флаги
.TP 5
.B \-h
Показать справку
.TP 5
.B \-p
Попытаться сделать вывод понятным для пользователя или "форматированным"
.TP 5
.B \-t <seconds>
Задать период ожидания ответа от подсистемы NetLabel (в секундах)
.TP 5
.B \-v
Включить подробный вывод
.TP 5
.B \-V
Показать сведения о версии
.\" //////////////////////////////////////////////////////////////////////////
.SS Модули и команды
.TP 5
.B mgmt
.P
Модуль управления используется для выполнения общих запросов о подсистеме NetLabel
внутри ядра. Различные команды и их синтаксис перечислены ниже.
.HP
.I version
.br
Показать версию протокола управления NetLabel ядра.
.HP
.I protocols
.br
Показать список поддерживаемых ядром протоколов проставления меток.
.TP 5
.B map
.P
Модуль сопоставления доменов используется для сопоставления различных протоколов проставления меток NetLabel либо с конкретными доменами LSM, либо с сопоставлением доменов по умолчанию. Каждый модуль LSM отвечает за определение того, что представляет собой домен. При использовании SELinux следует использовать обычный домен SELinux, то есть "ping_t". Выбор протокола возможен не только исключительно на основе домена LSM; при выборе протокола проставления меток можно одновременно учитывать как домен LSM, так и адрес назначения. Селекторы сетевых адресов могут определять либо отдельные узлы, либо целые сети. Они работают как для IPv4, так и для IPv6 (но выбранный протокол проставления меток должен поддерживать выбранную версию IP). При указании протокола проставления меток, который следует использовать для каждого сопоставления, доступно необязательное поле "extra"; оно используется для дальнейшего определения конфигурации конкретного протокола проставления меток. Если указывается протокол без меток, "unlbl", можно использовать дополнительное значение: "4" или "6". В этом случае сопоставляться будут только адреса IPv4 или IPv6. Если дополнительное значение не указано, сопоставление будет выполняться для всех семейств адресов. При указании протокола CIPSO/IPv4 или CALIPSO/IPv6, "cipso" или "calipso", необходимо указать значение DOI (domain of interpretation, область интерпретации); подробные сведения доступны в разделе ПРИМЕРЫ. Ниже перечислены различные команды и их синтаксис.
.HP
.I add default|domain:<domain> [address:<ADDR>[/<MASK>]] protocol:<protocol>[,<extra>]
.br
Добавить новый домен LSM / сетевой адрес к сопоставлению протоколов NetLabel.
.HP
.I del default|domain:<domain>
.br
Удалить существующий домен LSM из сопоставления протоколов NetLabel.
.HP
.I list
.br
Показать все настроенные сопоставления доменов LSM с протоколами NetLabel.
.TP 5
.B unlbl
.P
Модуль без меток (unlbl) управляет протоколом без меток, который используется, когда не требуется проставлять метки для исходящего трафика, а также когда система получает трафик без меток. Этот модуль позволяет администраторам блокировать все исходящие пакеты без меток с помощью флага "accept" и назначать трафику без меток статические (резервные) метки безопасности на основе входящего сетевого интерфейса и адреса источника.
.HP
.I accept on|off
.br
Переключить флаг принятия трафика без меток.
.HP
.I add default|interface:<dev> address:<addr>[/<mask>] label:<label>
.br
Добавить новую статическую/резервную запись.
.HP
.I del default|interface:<dev> address:<addr>[/<mask>]
.br
Удалить существующую статическую/резервную запись.
.HP
.I list
.br
Показать состояние флага принятия трафика без меток.
.TP 5
.B cipso
.P
Модуль CIPSO/IPv4 (cipso) управляет подсистемой проставления меток CIPSO/IPv4 в ядре. Подсистема CIPSO/IPv4, которую предоставляет NetLabel, поддерживает несколько областей интерпретации (DOI), а модуль CIPSO/IPv4 позволяет использовать различные конфигурации для каждой DOI. В настоящее время имеется три типа конфигураций: "trans" (позволяет преобразовывать метки конфиденциальности MLS в режиме реального времени), "pass" (не выполняет преобразование меток конфиденциальности MLS) и "local" (передаёт полную метку безопасности LSM по соединениям localhost/loopback).
Независимо от того, какой тип конфигурации выбран, необходимо указать значение DOI, а также (если выбрана конфигурация "trans" или "pass") список типов тегов CIPSO/IPv4 для использования при создании меток пакетов CIPSO/IPv4. Список тегов CIPSO/IPv4 выстроен в определённом порядке: если возможно, при создании метки CIPSO/IPv4 используется первый тип тегов в списке. Если первый тип тегов невозможно использовать, по порядку будут проверены все остальные типы тегов, пока не будет найден подходящий. Если корректный тип тегов не удастся найти, операция создания метки CIPSO/IPv4 завершится неудачно; обычно это происходит при создании нового сокета. Ниже перечислены различные команды и их синтаксис.
.HP
.I add trans doi:<DOI> tags:<T1>,<Tn> levels:<LL1>=<RL1>,<LLn>=<RLn> categories:<LC1>=<RC1>,<LCn>=<RCn>
.br
Добавить новую конфигурацию CIPSO/IPv4, в которой используется стандартное/преобразованное сопоставление с указанными преобразованиями уровня и категории. Преобразование уровней выполняется таким образом, что локальный уровень "LLn" преобразовывается в удалённый уровень "RLn"; для входящих пакетов выполняется обратное преобразование. Такое же преобразование выполняется для категорий с помощью "LCn" и "RCn". Чтобы пакет был принят или чтобы приложением был создан сокет, в метке конфиденциальности MLS должно присутствовать преобразование уровня конфиденциальности и всех категорий; если не удастся преобразовать запрошенную метку конфиденциальности целиком, произойдёт сбой приложения.
.HP
.I add pass doi:<DOI> tags:<T1>,<Tn>
.br
Добавить новую конфигурацию CIPSO/IPv4 без преобразований уровня или категорий.
.HP
.I add local doi:<DOI>
.br
Добавить новую конфигурацию CIPSO/IPv4 для соединений localhost/loopback.
.HP
.I del doi:<DOI>
.br
Удалить существующую конфигурацию CIPSO/IPv4 с указанным значением DOI. Если имеются какие-либо сопоставления доменов LSM, которые используют эту DOI, они также будут удалены.
.HP
.I list [doi:<DOI>]
.br
Показать список всех конфигураций CIPSO/IPv4 или только конфигурацию, соответствующую указанной (необязательно) DOI.
.TP 5
.B calipso
.P
Модуль CALIPSO/IPv6 (calipso) управляет подсистемой проставления меток CALIPSO/IPv6 в ядре. Работа этого модуля похожа на работу подсистемы CIPSO/IPv4, но протокол указывает только один тип тегов (эквивалентно типу тегов 1 CIPSO), поэтому тип тегов не нужно задавать. Кроме того, отсутствует поддержка конфигураций "local" и "trans". Ниже перечислены различные команды и их синтаксис.
.HP
.I add pass doi:<DOI>
.br
Добавить новую конфигурацию CALIPSO/IPv6 без преобразований уровня или категорий.
.HP
.I del doi:<DOI>
.br
Удалить существующую конфигурацию CALIPSO/IPv6 с указанным значением DOI. Если имеются какие-либо сопоставления доменов LSM, которые используют эту DOI, они также будут удалены.
.HP
.I list [doi:<DOI>]
.br
Показать список всех конфигураций CALIPSO/IPv6 или только конфигурацию, соответствующую указанной (необязательно) DOI.
.\" //////////////////////////////////////////////////////////////////////////
.SH СООБЩЕНИЕ ПРИ ВЫХОДЕ
.\" //////////////////////////////////////////////////////////////////////////
Возвращает ноль при успешном завершении или значения errno при ошибках.
.\" //////////////////////////////////////////////////////////////////////////
.SH "ПРИМЕРЫ"
.\" //////////////////////////////////////////////////////////////////////////
.TP 5
.I netlabelctl cipso add pass doi:16 tags:1
.br
Добавить конфигурацию CIPSO/IPv4 со значением DOI "16", используя тег CIPSO "1"
(разрешительный битовый тег). Уровни/категории CIPSO и LSM передаются через подсистему NetLabel без преобразования.
.HP
.I netlabelctl cipso add trans doi:8 tags:1 levels:0=0,1=1 categories:0=1,1=0
.br
Добавить конфигурацию CIPSO/IPv4 со значением DOI "8", используя тег CIPSO "1"
(разрешительный битовый тег). Указанное сопоставление преобразует локальные уровни LSM "0" и "1", соответственно, в уровни CIPSO "0" и "1", в то время как локальные категории LSM "0" и "1", соответственно, сопоставляются с категориями CIPSO "1" и "0".
.HP
.I netlabelctl \-p cipso list
.br
Показать все конфигурации CIPSO/IPv4 в доступном для прочтения человеком формате.
.HP
.I netlabelctl \-p cipso list doi:16
.br
Показать конкретные сведения о конфигурации CIPSO/IPv4 DOI 16.
.HP
.I netlabelctl cipso del doi:8
.br
Удалить конфигурацию CIPSO/IPv4, назначенную для DOI 8. Все сопоставления доменов, которые используют эту конфигурацию, также будут удалены.
.HP
.I netlabelctl map add domain:lsm_domain protocol:cipso,8
.br
Добавить сопоставление доменов, чтобы для всех исходящих пакетов, которые отправляются из "lsm_domain", проставлялись метки в соответствии с протоколом CIPSO/IPv4 с DOI 8.
.HP
.I netlabelctl map add domain:lsm_domain address:192.168.1.0/24 protocol:cipso,8
.br
Добавить сопоставление, чтобы для всех исходящих пакетов, которые отправляются из "lsm_domain" в сеть
192.168.1.0/24, проставлялись метки в соответствии с протоколом CIPSO/IPv4 с DOI 8.
.HP
.I netlabelctl \-p map list
.br
Показать все сопоставления доменов в доступном для прочтения человеком формате.
.HP
.I netlabelctl del domain:lsm_domain
.br
Удалить сопоставление доменов для "lsm_domain". Пакеты, которые отправляются из "lsm_domain", будут направляться согласно сопоставлению NetLabel по умолчанию.
.HP
.I netlabelctl unlbl add interface:lo address:::1 label:foo
.br
Добавить статическую/резервную метку, чтобы назначить метку безопасности "foo" пакетам без меток, которые поступают в систему через интерфейс "lo" (loopback) с IPv6-адресом источника "::1" (localhost).
.HP
.I netlabelctl unlbl add default address:192.168.0.0/16 label:bar
.br
Добавить статическую/резевную метку, чтобы назначить метку безопасности "bar" пакетам без меток, которые поступают в систему через любой интерфейс с IPv4-адресом источника в сети 192.168.0.0/16.
.\" //////////////////////////////////////////////////////////////////////////
.SH "ПРИМЕЧАНИЯ"
.\" //////////////////////////////////////////////////////////////////////////
.P
Подсистема NetLabel поддерживается в ядре Linux версии 2.6.19 и выше.
Статические (резервные) метки поддерживаются только в ядре Linux версии
2.6.25 и выше. Селекторы адресов для сопоставления доменов поддерживаются только в ядре
Linux версии 2.6.28 и выше, а CALIPSO/RFC5570 поддерживается только в ядре
Linux версии 4.8.0 и выше.
.P
Веб-сайт проекта NetLabel, на котором доступны дополнительные сведения, включая репозиторий исходного кода, находится по адресу https://github.com/netlabel. Пожалуйста, отправляйте сообщения об ошибках через сайт проекта или напрямую автору.
.\" //////////////////////////////////////////////////////////////////////////
.SH "СМОТРИТЕ ТАКЖЕ"
.\" //////////////////////////////////////////////////////////////////////////
.BR netlabel-config (8)
.\" //////////////////////////////////////////////////////////////////////////
.SH "АВТОРЫ"
.\" //////////////////////////////////////////////////////////////////////////
Paul Moore <paul@paul-moore.com>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.