|  No hay comentarios

selinux_config

ÐÐЯ
ÐÐÐСÐÐÐÐ
ФÐРÐÐТ ФÐÐÐÐ
ÐРÐÐÐР
СÐÐТРÐТРТÐÐÐÐ
ÐÐТÐРЫ

ÐÐЯ

config − Ñайл конÑигÑÑаÑии подÑиÑÑÐµÐ¼Ñ SELinux.

ÐÐÐСÐÐÐÐ

Файл config SELinux ÑпÑавлÑÐµÑ ÑоÑÑоÑнием SELinux, опÑеделÑÑ:

1.

СоÑÑоÑние пÑÐ¸Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ð¿Ð¾Ð»Ð¸Ñики − enforcing (пÑинÑдиÑелÑнÑй Ñежим), permissive (ÑазÑеÑиÑелÑнÑй Ñежим) или disabled (оÑклÑÑена).

2.

ÐÐ¼Ñ Ð¿Ð¾Ð»Ð¸Ñики или Ñип, ÑоÑмиÑÑÑÑий пÑÑÑ Ðº полиÑике, коÑоÑÑÑ ÑледÑÐµÑ Ð·Ð°Ð³ÑÑзиÑÑ, и ÐµÑ Ð²ÑпомогаÑелÑнÑм Ñайлам конÑигÑÑаÑии.

3.

СпоÑоб ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð»Ð¾ÐºÐ°Ð»ÑнÑми полÑзоваÑелÑми и логиÑеÑкими пеÑеклÑÑаÑелÑми поÑле загÑÑзки полиÑики (обÑаÑиÑе внимание, ÑÑо ÑÑа возможноÑÑÑ Ð¸ÑполÑзовалаÑÑ Ð² пÑедÑдÑÑÐ¸Ñ Ð²ÐµÑÑиÑÑ SELinux, ÑейÑÐ°Ñ Ð¾Ð½Ð° ÑÑÑаÑела).

4.

Ðоведение поддеÑживаÑÑÐ¸Ñ SELinux пÑиложений пÑи оÑÑÑÑÑÑвии наÑÑÑоеннÑÑ Ð´ÐµÐ¹ÑÑвиÑелÑнÑÑ Ð¿Ð¾Ð»ÑзоваÑелей SELinux.

5.

СледÑÐµÑ Ð»Ð¸ повÑоÑно пÑоÑÑавлÑÑÑ Ð¼ÐµÑки в ÑиÑÑеме.

ÐпиÑание запиÑей, коÑоÑÑе ÑпÑавлÑÑÑ ÑÑими возможноÑÑÑми, пÑиводиÑÑÑ Ð² Ñазделе ФÐРÐÐТ ФÐÐÐÐ.

ÐолнÑй пÑÑÑ Ðº ÑÐ°Ð¹Ð»Ñ ÐºÐ¾Ð½ÑигÑÑаÑии SELinux: /etc/selinux/config.

ÐÑли Ñайл config оÑÑÑÑÑÑвÑÐµÑ Ð¸Ð»Ð¸ повÑеждÑн, полиÑика SELinux не бÑÐ´ÐµÑ Ð·Ð°Ð³ÑÑжена (Ñо еÑÑÑ SELinux бÑÐ´ÐµÑ Ð¾ÑклÑÑÑн).

Ðоманда sestatus (8) и ÑÑнкÑÐ¸Ñ libselinux selinux_path (3) возвÑаÑаÑÑ ÑаÑположение Ñайла config.

ФÐРÐÐТ ФÐÐÐÐ

Файл config поддеÑÐ¶Ð¸Ð²Ð°ÐµÑ ÑледÑÑÑие паÑамеÑÑÑ:

SELINUX = enforcing | permissive | disabled
SELINUXTYPE = policy_name
REQUIREUSERS = 0 | 1
AUTORELABEL = 0 | 1

Ðде:
SELINUX

ÐÑа запиÑÑ Ð¼Ð¾Ð¶ÐµÑ ÑодеÑжаÑÑ Ð¾Ð´Ð½Ð¾ из ÑÑÑÑ Ð·Ð½Ð°Ñений:

enforcing

ÐолиÑика безопаÑноÑÑи SELinux пÑименÑеÑÑÑ.

permissive

ÐолиÑика безопаÑноÑÑи SELinux не пÑименÑеÑÑÑ, но ведÑÑÑÑ Ð¶ÑÑналиÑование пÑедÑпÑеждений (Ñо еÑÑÑ Ð´ÐµÐ¹ÑÑвиÑм ÑазÑеÑено пÑодолжаÑÑ Ð²ÑполнÑÑÑÑÑ).

disabled

SELinux оÑклÑÑÑн, полиÑика не загÑÑжена.

ÐнаÑение запиÑи можно ÑзнаÑÑ Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ sestatus(8) или selinux_getenforcemode(3).

SELINUXTYPE

ÐапиÑÑ policy_name иÑполÑзÑеÑÑÑ Ð´Ð»Ñ Ð¸Ð´ÐµÐ½ÑиÑикаÑии Ñипа полиÑики и ÑÑановиÑÑÑ Ð¸Ð¼ÐµÐ½ÐµÐ¼ каÑалога, в коÑоÑом ÑаÑполагаÑÑÑÑ Ð¿Ð¾Ð»Ð¸Ñика и ÐµÑ ÑÐ°Ð¹Ð»Ñ ÐºÐ¾Ð½ÑигÑÑаÑии.

ÐнаÑение запиÑи можно ÑзнаÑÑ Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ sestatus(8) или selinux_getpolicytype(3).

policy_name оÑноÑиÑÑÑ Ðº пÑÑи, коÑоÑÑй опÑеделÑн внÑÑÑи подÑиÑÑÐµÐ¼Ñ SELinux и Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ Ð¿Ð¾Ð»ÑÑен Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ selinux_path(3). ÐÑÐ¸Ð¼ÐµÑ Ð·Ð°Ð¿Ð¸Ñи, полÑÑенной Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ selinux_path(3):

/etc/selinux/

ÐаÑем к конÑÑ ÑÑой запиÑи добавлÑеÑÑÑ policy_name, и она ÑÑановиÑÑÑ ÐºÐ¾ÑневÑм ÑаÑположением полиÑики, коÑоÑое Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ Ð¿Ð¾Ð»ÑÑено Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ selinux_policy_root_path(3). ÐÑÐ¸Ð¼ÐµÑ Ð¿Ð¾Ð»ÑÑенной запиÑи:

/etc/selinux/targeted

ФакÑиÑеÑÐºÐ°Ñ Ð´Ð²Ð¾Ð¸ÑÐ½Ð°Ñ Ð¿Ð¾Ð»Ð¸Ñика ÑаÑположена оÑноÑиÑелÑно ÑÑого каÑалога и Ñакже Ð¸Ð¼ÐµÐµÑ Ð¿ÑедваÑиÑелÑно вÑделенное Ð¸Ð¼Ñ Ð¿Ð¾Ð»Ð¸Ñики. ÐÑÑ Ð¸Ð½ÑоÑмаÑÐ¸Ñ Ð¼Ð¾Ð¶Ð½Ð¾ полÑÑиÑÑ Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ selinux_binary_policy_path(3). ÐÑÐ¸Ð¼ÐµÑ Ð·Ð°Ð¿Ð¸Ñи, полÑÑенной Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ selinux_binary_policy_path(3):

/etc/selinux/targeted/policy/policy

Ðо ÑоглаÑÐµÐ½Ð¸Ñ Ðº конÑÑ Ð¸Ð¼ÐµÐ½Ð¸ двоиÑной полиÑики добавлÑеÑÑÑ Ð²ÐµÑÑÐ¸Ñ Ð¿Ð¾Ð»Ð¸Ñики SELinux, коÑоÑÑÑ Ð¾Ð½Ð° поддеÑживаеÑ. ÐакÑималÑнÑÑ Ð²ÐµÑÑÐ¸Ñ Ð¿Ð¾Ð»Ð¸Ñики, поддеÑживаемÑÑ ÑдÑом, можно опÑеделиÑÑ Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ sestatus(8) или security_policyvers(3). ÐÑÐ¸Ð¼ÐµÑ Ñайла двоиÑной полиÑики Ñ Ð²ÐµÑÑией:

/etc/selinux/targeted/policy/policy.24

REQUIRESEUSERS

ÐÑа необÑзаÑелÑÐ½Ð°Ñ Ð·Ð°Ð¿Ð¸ÑÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ ÑделаÑÑ Ð¿Ð¾Ð¿ÑÑÐºÑ Ð²Ñода неÑдаÑной, еÑли в Ñайле seusers(5) Ð½ÐµÑ ÑооÑвеÑÑÑвÑÑÑей запиÑи или запиÑи по ÑмолÑÐ°Ð½Ð¸Ñ Ð¸Ð»Ð¸ оÑÑÑÑÑÑвÑÐµÑ Ñам Ñайл seusers.

Ðна пÑовеÑÑеÑÑÑ ÑÑнкÑией getseuserbyname(3), коÑоÑÐ°Ñ Ð²ÑзÑваеÑÑÑ Ð¿Ð¾Ð´Ð´ÐµÑживаÑÑими SELinux пÑиложениÑми Ð´Ð»Ñ Ð²Ñода, напÑимеÑ, PAM(8).

ÐÑли задано знаÑение 0 или оÑÑÑÑÑÑвÑÐµÑ Ð·Ð°Ð¿Ð¸ÑÑ:

getseuserbyname(3) веÑнÑÑ Ð¸Ð¼Ñ Ð¿Ð¾Ð»ÑзоваÑÐµÐ»Ñ GNU / Linux в каÑеÑÑве полÑзоваÑÐµÐ»Ñ SELinux.

ÐÑли задано знаÑение 1:

getseuserbyname(3) не ÑдаÑÑÑÑ Ð²ÑполниÑÑ.

ÐпиÑание ÑабоÑÑ getseuserbyname(3) ÑодеÑжиÑÑÑ Ð½Ð° ÑооÑвеÑÑÑвÑÑÑей man-ÑÑÑаниÑе. ФоÑÐ¼Ð°Ñ Ñайла seusers показан в seusers(5).

AUTORELABEL

ÐÑа необÑзаÑелÑÐ½Ð°Ñ Ð·Ð°Ð¿Ð¸ÑÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ Ð¿Ð¾Ð²ÑоÑно пÑоÑÑавлÑÑÑ Ð¼ÐµÑки в Ñайловой ÑиÑÑеме.

ÐÑли задано знаÑение 0 и в коÑневом каÑалоге имееÑÑÑ Ñайл Ñ Ð¸Ð¼ÐµÐ½ÐµÐ¼ .autorelabel, пÑи пеÑезагÑÑзке загÑÑзÑик пеÑейдÑÑ Ð² оболоÑкÑ, запÑаÑиваÑÑÑÑ Ð²Ñод в каÑеÑÑве полÑзоваÑÐµÐ»Ñ root. ÐаÑем админиÑÑÑаÑÐ¾Ñ ÑÐ¼Ð¾Ð¶ÐµÑ Ð²ÑÑÑнÑÑ Ð¿ÑоÑÑавиÑÑ Ð¼ÐµÑки в Ñайловой ÑиÑÑеме.

ÐÑли задано знаÑение 1 или запиÑÑ Ð¾ÑÑÑÑÑÑвÑÐµÑ (ÑоÑÑоÑние по ÑмолÑаниÑ) и в коÑневом каÑалоге имееÑÑÑ Ñайл .autorelabel, в Ñайловой ÑиÑÑеме Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ fixfiles −F restore бÑдÑÑ Ð°Ð²ÑомаÑиÑеÑки повÑоÑно пÑоÑÑÐ°Ð²Ð»ÐµÐ½Ñ Ð¼ÐµÑки.

Ð Ð¾Ð±Ð¾Ð¸Ñ ÑлÑÑаÑÑ Ñайл /.autorelabel бÑÐ´ÐµÑ ÑдалÑн, ÑÑÐ¾Ð±Ñ Ð¿ÑедоÑвÑаÑиÑÑ Ð¿Ð¾ÑледÑÑÑее повÑоÑное пÑоÑÑавление меÑок.

ÐРÐÐÐР

Ð ÑÑом пÑимеÑе показано минималÑное ÑодеÑжимое Ñайла config, коÑоÑое обеÑпеÑÐ¸Ñ Ð·Ð°Ð¿ÑÑк SELinux в ÑиÑÑеме в пÑинÑдиÑелÑном Ñежиме, Ñо знаÑением policy_name ’targeted’:

SELINUX = enforcing
SELINUXTYPE = targeted

СÐÐТРÐТРТÐÐÐÐ

selinux(8), sestatus(8), selinux_path(3), selinux_policy_root_path(3), selinux_binary_policy_path(3), getseuserbyname(3), PAM(8), fixfiles(8), selinux_mkload_policy(3), selinux_getpolicytype(3), security_policyvers(3), selinux_getenforcemode(3), seusers(5)

ÐÐТÐРЫ

ÐеÑевод на ÑÑÑÑкий ÑзÑк вÑполнила ÐеÑаÑименко ÐлеÑÑ .

Etiquetas: , ,