.TH "selinux" "8" "29 апреля 2005" "dwalsh@redhat.com" "Документация по командной строке SELinux" .SH "ИМЯ" SELinux \- Linux с улучшенной безопасностью от NSA (SELinux) . .SH "ОПИСАНИЕ" Linux с улучшенной безопасностью от NSA - это реализация гибкой архитектуры мандатного управления доступом в операционной системе Linux. Архитектура SELinux предоставляет общую поддержку использования различных видов политик мандатного управления доступом, включая основанные на концепциях Type Enforcement® (принудительное присвоение типов), Role-Based Access Control (управление доступом на основе ролей) и Multi-Level Security (многоуровневая безопасность). Дополнительная информация и техническая документация по SELinux доступна по адресу https://github.com/SELinuxProject. Файл конфигурации .I /etc/selinux/config позволяет управлять включением и отключением SELinux и, если SELinux включён, устанавливать режим его работы - разрешительный или принудительный. Переменной .B SELINUX можно задать значение отключённой, разрешительной или принудительной, чтобы выбрать один из этих вариантов. Если выбрать отключение режима, код ядра и приложения SELinux будет полностью отключён, система будет работать без какой-либо защиты SELinux. При установке разрешительного режима код SELinux включён, но не выполняет отказы в доступе, а только журналирует те действия, которые были бы запрещены при принудительном режиме. При установке принудительного режима код SELinux включён, выполняет отказы в доступе и журналирует соответствующие попытки доступа. Набор отказов в доступе в разрешительном режиме может отличаться от этого набора в принудительном режиме как по причине того, что принудительный режим предотвращает дальнейшее выполнение операции после первого отказа, так и из-за того, что после получения отказа в доступе часть кода приложения вернётся к работе в менее привилегированном режиме. Файл конфигурации .I /etc/selinux/config также управляет тем, какая политика активна в системе. SELinux позволяет установить в системе несколько политик, но одновременно можно использовать только одну из них. В настоящее время имеется несколько видов политики SELinux, например, целевая политика (targeted), политика многоуровневой безопасности (mls). Целевая политика позволяет большинству процессов пользователя выполняться без ограничений, помещая в отдельные домены безопасности, ограниченные политикой, только отдельные службы. Например, процессы пользователя выполняются в никак не ограниченном домене, в то время как именованная управляющая программа или управляющая программа apache будет выполняться в отдельном специально настроенном домене. Если используется политика MLS (Multi-Level Security), все процессы будут разделены по детально настроенным доменам безопасности и ограничены политикой. MLS также поддерживает модель Белла — Лападулы, в которой процессы ограничиваются не только по типу, но и по уровню данных. Чтобы определить, какая политика будет выполняться, следует установить переменную среды .B SELINUXTYPE в .IR /etc/selinux/config . Чтобы применить к системе изменение типа политики, необходимо перезагрузить систему и, возможно, повторно проставить метки. В каталогах .I /etc/selinux/{SELINUXTYPE}/ необходимо установить для каждой такой политики соответствующую конфигурацию. Дальнейшую настройку отдельной политики SELinux можно выполнить с помощью набора настраиваемых при компиляции параметров и набора логических переключателей среды выполнения политики. .B \%system\-config\-selinux позволяет настроить эти логические переключатели и настраиваемые параметры. Многие домены, которые защищены SELinux, также содержат man-страницы SELinux с информацией о настройке соответствующей политики. . .SH "ПРОСТАВЛЕНИЕ МЕТОК ДЛЯ ФАЙЛОВ" Всем файлам, каталогам, устройствам ... назначены контексты безопасности/метки. Эти контексты хранятся в расширенных атрибутах файловой системы. Проблемы с SELinux часто возникают из-за неправильного проставления меток в файловой системе. Это может быть вызвано загрузкой компьютера с ядром, отличным от SELinux. Появление сообщения об ошибке, содержащего file_t, обычно означает серьёзную проблему с проставлением меток в файловой системе. Лучшим способом повторного проставления меток в файловой системе является создание файла флага .I /.autorelabel и последующая перезагрузка. .BR system\-config\-selinux также имеет эту функциональность. Кроме того, для повторного проставления меток для файлов можно использовать команды .BR restorecon / fixfiles. . .SH ФАЙЛЫ .I /etc/selinux/config . .SH "СМОТРИТЕ ТАКЖЕ" .ad l .nh .BR booleans (8), .BR setsebool (8), .BR sepolicy (8), .BR system-config-selinux (8), .BR togglesebool (8), .BR restorecon (8), .BR fixfiles (8), .BR setfiles (8), .BR semanage (8), .BR sepolicy (8) Для каждой ограниченной службы в системе имеется man-cтраница следующего формата: .br .BR _selinux (8) Например, для службы httpd имеется страница .BR httpd_selinux (8). .B man -k selinux Выведет список всех man-страниц SELinux. .SH АВТОРЫ Эта страница руководства была написана Dan Walsh . Перевод на русский язык выполнила Герасименко Олеся .