Scroll to navigation

sepolicy-generate(8) sepolicy-generate(8)

ИМЯ

sepolicy-generate - создать исходный шаблон модуля политики SELinux.

ОБЗОР

Общие параметры

sepolicy generate [-h ] [-p PATH]

Ограниченные приложения

sepolicy generate --application [-n NAME] [-u USER ]command [-w WRITE_PATH ]
sepolicy generate --cgi [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --dbus [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --inetd [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --init [-n NAME] command [-w WRITE_PATH ]

Ограниченные пользователи

sepolicy generate --admin_user [-r TRANSITION_ROLE] -n NAME
sepolicy generate --confined_admin -n NAME [-a ADMIN_DOMAIN] [-u USER] [-n NAME] [-w WRITE_PATH]
sepolicy generate --desktop_user -n NAME [-w WRITE_PATH]
sepolicy generate --term_user -n NAME [-w WRITE_PATH]
sepolicy generate --x_user -n NAME [-w WRITE_PATH]

Разное

sepolicy generate --customize -d DOMAIN -n NAME [-a ADMIN_DOMAIN]
sepolicy generate --newtype -t type -n NAME
sepolicy generate --sandbox -n NAME

ОПИСАНИЕ

Используйте команду sepolicy generate для создания модуля политики SELinux.

sepolicy generate создаст 5 файлов.

При указании confined application необходимо указать путь. Команда sepolicy generate будет использовать полезную нагрузку rpm-пакета приложения вместе с nm -D APPLICATION, чтобы создать типы и правила политики для ваших файлов политики.

Файл принудительного назначения типов NAME.te
Этот файл можно использовать, чтобы определить для конкретного домена все правила типов.

Примечание: Политика, созданная с помощью команды sepolicy generate, автоматически добавит разрешительный домен (DOMAIN) в ваш файл .te. Когда вы закончите настройку политики, из файла .te будет необходимо удалить разрешительную строку, чтобы запустить домен в принудительном режиме.

Файл интерфейсов NAME.if
Этот файл определяет интерфейсы для созданных в файле .te типов, которые могут использоваться другими доменами политики.

Контексты файлов NAME.fc
Этот файл определяет контексты файлов по умолчанию для системы; он берёт типы файлов, созданные в файле .te, и связывает пути файлов с этими типами. Такие утилиты, как restorecon и RPM, будут использовать эти пути для проставления меток.

Файл спецификации RPM NAME_selinux.spec
Этот файл - файл СПЕЦИФИКАЦИИ, который можно использовать для установки политики SELinux на компьютеры и настройки проставления меток. Файл спецификации также устанавливает файл интерфейсов и man-страницу с описанием политики. Для создания man-страницы можно использовать команду sepolicy manpage -d NAME.

Файл оболочки NAME.sh
Это вспомогательный сценарий оболочки для компиляции, установки и исправления меток в тестовой системе. Он также создаёт man-страницу на основе установленной политики, компилирует и собирает RPM, который подходит для установки на других компьютерах.

Если создание возможно, эта утилита выведет на экран все пути создания из исходного домена в целевой домен

ПАРАМЕТРЫ

Показать справочное сообщение
Ввести тип домена, который будет расширен
Указать альтернативное имя политики. По умолчанию: указанный исполняемый файл или имя.
Указать каталог для сохранения созданных файлов политики. По умолчанию: текущий рабочий каталог. Необязательные аргументы:
Ввести роль (роли), в которую перейдёт этот администратор
Ввести тип (типы), для которого создаётся новое определение и правило (правила)
Пользователь (пользователи) SELinux, который перейдёт в этот домен
Путь (пути), который требуется для записи ограниченным процессам
Домен (домены), который будет администрировать ограниченный администратор
Создать политику для роли авторизации администратора
Создать политику для приложения пользователя
Создать политику для веб-приложения/сценария (CGI)
Создать политику для роли ограниченного администратора root
Создать политику для типа существующего домена
Создать политику для системной внутренней службы DBUS
Создать политику для роли авторизации на рабочем столе
Создать политику для внутренней службы Интернет-служб
Создать политику для стандартной внутренней службы init (по умолчанию)
Создать политику для новых типов, которые будут добавлены в существующую политику.
Создать политику для изолированной среды
Создать политику для минимальной роли авторизации пользователя терминала
Создать политику для минимальной роли авторизации пользователя X Windows

ПРИМЕР

> sepolicy generate --init /usr/sbin/rwhod
Создание политики для /usr/sbin/rwhod с именем rwhod
Созданы следующие файлы:
rwhod.te # файл принудительного присвоения типов
rwhod.if # файл интерфейсов
rwhod.fc # файл контекстов файлов
rwhod_selinux.spec # файл спецификации
rwhod.sh # сценарий настройки

СМОТРИТЕ ТАКЖЕ

sepolicy(8), selinux(8)

АВТОРЫ

Эта man-страница была написана Daniel Walsh <dwalsh@redhat.com>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.

20121005