.TH "selinux_config" "5" "18 ноября 2011" "Security Enhanced Linux" "Файл конфигурации SELinux" .SH "ИМЯ" config \- файл конфигурации подсистемы SELinux. .SH "ОПИСАНИЕ" Файл \fIconfig\fR SELinux управляет состоянием SELinux, определяя: .RS .IP "1." 4 Состояние применения политики \- \fIenforcing\fR (принудительный режим), \fIpermissive\fR (разрешительный режим) или \fIdisabled\fR (отключена). .IP "2." 4 Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации. .IP "3." 4 Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела). .IP "4." 4 Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux. .IP "5." 4 Следует ли повторно проставлять метки в системе. .RE Описание записей, которые управляют этими возможностями, приводится в разделе \fBФОРМАТ ФАЙЛА\fR. .sp Полный путь к файлу конфигурации SELinux: \fI/etc/selinux/config\fR. .sp Если файл \fIconfig\fR отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён). .sp Команда \fBsestatus\fR (8) и функция libselinux \fBselinux_path\fR (3) возвращают расположение файла \fIconfig\fR. .SH "ФОРМАТ ФАЙЛА" Файл \fIconfig\fR поддерживает следующие параметры: .sp .RS \fBSELINUX = \fIenforcing\fR | \fIpermissive\fR | \fIdisabled\fR .br \fBSELINUXTYPE = \fIpolicy_name\fR .br \fBREQUIRESEUSERS = \fI0\fR | \fI1\fR .br \fBAUTORELABEL = \fI0\fR | \fI1\fR .RE .sp Где: .br .B SELINUX .RS Эта запись может содержать одно из трёх значений: .RS .IP \fIenforcing\fR 4 Политика безопасности SELinux применяется. .IP \fIpermissive\fR 4 Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться). .IP \fIdisabled\fR SELinux отключён, политика не загружена. .RE .sp Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getenforcemode\fR(3). .RE .sp .B SELINUXTYPE .RS Запись \fIpolicy_name\fR используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации. .sp Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getpolicytype\fR(3). .sp \fIpolicy_name\fR относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью \fBselinux_path\fR(3). Пример записи, полученной с помощью \fBselinux_path\fR(3): .br .RS .I /etc/selinux/ .RE .sp Затем к концу этой записи добавляется \fIpolicy_name\fR, и она становится корневым расположением политики, которое может быть получено с помощью \fBselinux_policy_root_path\fR(3). Пример полученной записи: .RS .I /etc/selinux/targeted .RE .sp Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью \fBselinux_binary_policy_path\fR(3). Пример записи, полученной с помощью \fBselinux_binary_policy_path\fR(3): .br .RS .I /etc/selinux/targeted/policy/policy .RE .sp По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды \fBsestatus\fR(8) или \fBsecurity_policyvers\fR(3). Пример файла двоичной политики с версией: .br .RS .I /etc/selinux/targeted/policy/policy.24 .RE .RE .sp .B REQUIRESEUSERS .RS Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле .BR seusers "(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл " seusers ". " .sp Она проверяется функцией \fBgetseuserbyname\fR(3), которая вызывается поддерживающими SELinux приложениями для входа, например, \fBPAM\fR(8). .sp Если задано значение \fI0\fR или отсутствует запись: .RS .BR getseuserbyname "(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux." .RE .sp Если задано значение \fI1\fR: .RS .BR getseuserbyname "(3) не удастся выполнить." .RE .sp Описание работы \fBgetseuserbyname\fR(3) содержится на соответствующей man-странице. Формат файла \fIseusers\fR показан в \fBseusers\fR(5). .sp .RE .sp .B AUTORELABEL .RS Эта необязательная запись позволяет повторно проставлять метки в файловой системе. .sp Если задано значение \fI0\fR и в корневом каталоге имеется файл с именем \fI.autorelabel\fR, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе. .sp Если задано значение \fI1\fR или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл \fI.autorelabel\fR, в файловой системе с помощью \fBfixfiles \-F restore\fR будут автоматически повторно проставлены метки. .sp В обоих случаях файл \fI/.autorelabel\fR будет удалён, чтобы предотвратить последующее повторное проставление меток. .RE .sp .SH "ПРИМЕР" В этом примере показано минимальное содержимое файла \fIconfig\fR, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением \fIpolicy_name\fR 'targeted': .sp .RS SELINUX = enforcing .br SELINUXTYPE = targeted .RE .SH "СМОТРИТЕ ТАКЖЕ" .BR selinux "(8), " sestatus "(8), " selinux_path "(3), " selinux_policy_root_path "(3), " selinux_binary_policy_path "(3), " getseuserbyname "(3), " PAM "(8), " fixfiles "(8), " selinux_mkload_policy "(3), " selinux_getpolicytype "(3), " security_policyvers "(3), " selinux_getenforcemode "(3), " seusers "(5) " .SH АВТОРЫ Перевод на русский язык выполнила Герасименко Олеся .