setfiles
ÐÐЯ
ÐÐÐÐÐ
ÐÐÐСÐÐÐÐ
ÐÐÐ ÐÐÐТРЫ
ÐÐ ÐУÐÐÐТЫ
ÐÐ ÐÐÐЧÐÐÐЯ
СÐÐТРÐТРТÐÐÐÐ
ÐÐТÐРЫ
ÐÐЯ
setfiles − ÑÑÑановиÑÑ SELinux-конÑекÑÑÑ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи Ñайлов.
ÐÐÐÐÐ
setfiles [−c policy] [−d] [−l] [−m] [−n] [−e directory] [−p] [−s] [−v] [−W] [−F] [−I|−D] spec_file pathname …
ÐÐÐСÐÐÐÐ
Ðа ÑÑой ÑÑÑаниÑе ÑÑководÑÑва пÑиводиÑÑÑ Ð¾Ð¿Ð¸Ñание пÑогÑÐ°Ð¼Ð¼Ñ setfiles.
ÐÑа пÑогÑамма иÑполÑзÑеÑÑÑ Ð² оÑновном Ð´Ð»Ñ Ð¸Ð½Ð¸ÑиализаÑии полей конÑекÑÑа безопаÑноÑÑи (ÑаÑÑиÑеннÑÑ Ð°ÑÑибÑÑов) в одной или неÑколÑÐºÐ¸Ñ ÑайловÑÑ ÑиÑÑÐµÐ¼Ð°Ñ (или Ð¸Ñ ÑаÑÑÑÑ). ÐбÑÑно она впеÑвÑе запÑÑкаеÑÑÑ ÐºÐ°Ðº ÑаÑÑÑ Ð¿ÑоÑеÑÑа ÑÑÑановки SELinux (ÑÑап, коÑоÑÑй назÑваеÑÑÑ Ð¿ÑоÑÑавлением меÑок).
Также можно запÑÑÑиÑÑ ÐµÑ Ð² лÑбой дÑÑгой моменÑ, ÑÑÐ¾Ð±Ñ Ð¸ÑпÑавиÑÑ Ð½ÐµÐºÐ¾ÑÑекÑнÑе меÑки, добавиÑÑ Ð¿Ð¾Ð´Ð´ÐµÑÐ¶ÐºÑ Ð´Ð»Ñ Ð½ÐµÐ´Ð°Ð²Ð½Ð¾ ÑÑÑановленной полиÑики или, иÑполÑзÑÑ Ð¿Ð°ÑамеÑÑ −n , паÑÑивно пÑовеÑиÑÑ, ÑооÑвеÑÑÑвÑÑÑ Ð»Ð¸ ÑÑÑановленнÑе конÑекÑÑÑ Ñайлов Ñем конÑекÑÑам, коÑоÑÑе ÑÐºÐ°Ð·Ð°Ð½Ñ Ð² акÑивной полиÑике (поведение по ÑмолÑаниÑ) или в какой-либо дÑÑгой полиÑике (Ñм. паÑамеÑÑ −c ).
ÐÑли обÑÐµÐºÑ Ñайла не Ð¸Ð¼ÐµÐµÑ ÐºÐ¾Ð½ÑекÑÑа, setfiles запиÑÐµÑ ÐºÐ¾Ð½ÑекÑÑ Ð¿Ð¾ ÑмолÑÐ°Ð½Ð¸Ñ Ð² ÑаÑÑиÑеннÑе аÑÑибÑÑÑ Ð¾Ð±ÑекÑа Ñайла. ÐÑли обÑÐµÐºÑ Ñайла Ð¸Ð¼ÐµÐµÑ ÐºÐ¾Ð½ÑекÑÑ, setfiles Ð¸Ð·Ð¼ÐµÐ½Ð¸Ñ ÑолÑко ÑÑ ÑаÑÑÑ ÐºÐ¾Ð½ÑекÑÑа безопаÑноÑÑи, коÑоÑÐ°Ñ Ð¾ÑноÑиÑÑÑ Ðº ÑипÑ. ÐаÑамеÑÑ −F позволÑÐµÑ Ð¿ÑинÑдиÑелÑно замениÑÑ ÐºÐ¾Ð½ÑекÑÑ Ñеликом.
ÐÐÐ ÐÐÐТРЫ
|
−c |
пÑовеÑиÑÑ Ð´ÐµÐ¹ÑÑвиÑелÑноÑÑÑ ÐºÐ¾Ð½ÑекÑÑов оÑноÑиÑелÑно Ñказанной двоиÑной полиÑики. |
||
|
−d |
показаÑÑ, ÐºÐ°ÐºÐ°Ñ ÑпеÑиÑикаÑÐ¸Ñ ÑооÑвеÑÑÑвÑÐµÑ ÐºÐ°Ð¶Ð´Ð¾Ð¼Ñ Ð¸Ð· Ñайлов (не пÑекÑаÑаÑÑ Ð¿ÑовеÑÐºÑ Ð¿Ð¾Ñле полÑÑÐµÐ½Ð¸Ñ Ð¾Ñибок ABORT_ON_ERRORS). |
−e directory
иÑклÑÑиÑÑ ÐºÐ°Ñалог (ÑÑÐ¾Ð±Ñ Ð¸ÑклÑÑиÑÑ Ð±Ð¾Ð»ÐµÐµ одного каÑалога, ÑÑÐ¾Ñ Ð¿Ð°ÑамеÑÑ Ð½ÐµÐ¾Ð±Ñодимо иÑполÑзоваÑÑ ÑооÑвеÑÑÑвÑÑÑее колиÑеÑÑво Ñаз).
−f infilename
infilename ÑодеÑÐ¶Ð¸Ñ ÑпиÑок Ñайлов Ð´Ð»Ñ Ð¾Ð±ÑабоÑки. ÐÑполÑзÑйÑе “−” Ð´Ð»Ñ stdin.
|
−F |
пÑинÑдиÑелÑно ÑбÑоÑиÑÑ ÐºÐ¾Ð½ÑекÑÑ, ÑÑÐ¾Ð±Ñ Ð¾Ð±ÐµÑпеÑиÑÑ ÑооÑвеÑÑÑвие file_context Ð´Ð»Ñ Ð½Ð°ÑÑÑаиваемÑÑ Ñайлов и ÑооÑвеÑÑÑвие конÑекÑÑÑ Ñайлов по ÑмолÑÐ°Ð½Ð¸Ñ Ð´Ð»Ñ Ð¾ÑÑалÑнÑÑ Ñайлов (менÑÑÑÑÑ ÑаÑÑи конÑекÑÑа, ÑвÑзаннÑе Ñ Ð¿Ð¾Ð»ÑзоваÑелем, ÑолÑÑ, диапазоном, а Ñакже Ñип). |
||
|
−h, −? |
показаÑÑ ÑÐ²ÐµÐ´ÐµÐ½Ð¸Ñ Ð¾Ð± иÑполÑзовании и вÑйÑи. |
||
|
−i |
игноÑиÑоваÑÑ ÑайлÑ, коÑоÑÑе не ÑÑÑеÑÑвÑÑÑ. |
||
|
−I |
игноÑиÑоваÑÑ Ð´Ð°Ð¹Ð´Ð¶ÐµÑÑ, ÑÑÐ¾Ð±Ñ Ð¿ÑинÑдиÑелÑно пÑовеÑиÑÑ Ð¼ÐµÑки, даже еÑли ÑÑанимÑй дайджеÑÑ SHA1 ÑооÑвеÑÑÑвÑÐµÑ Ð´Ð°Ð¹Ð´Ð¶ÐµÑÑÑ SHA1 Ñайлов ÑпеÑиÑикаÑии. ÐаÑем (пÑи ÑÑловии оÑÑÑÑÑÑÐ²Ð¸Ñ Ð¾Ñибок) дайджеÑÑ Ð±ÑÐ´ÐµÑ Ð¾Ð±Ð½Ð¾Ð²Ð»Ñн. Ðолее подÑобнÑе ÑÐ²ÐµÐ´ÐµÐ½Ð¸Ñ Ð´Ð¾ÑÑÑÐ¿Ð½Ñ Ð² Ñазделе ÐÐ ÐÐÐЧÐÐÐЯ. |
||
|
−D |
ÑÑÑановиÑÑ Ð¸Ð»Ð¸ обновиÑÑ Ð´Ð°Ð¹Ð´Ð¶ÐµÑÑÑ SHA1 Ð´Ð»Ñ Ð»ÑбÑÑ ÐºÐ°Ñалогов. ÐÑполÑзÑйÑе ÑÑÐ¾Ñ Ð¿Ð°ÑамеÑÑ, ÑÑÐ¾Ð±Ñ Ð²ÐºÐ»ÑÑиÑÑ Ð¸ÑполÑзование ÑаÑÑиÑенного аÑÑибÑÑа security.restorecon_last. |
||
|
−l |
запиÑÑваÑÑ Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ð¼ÐµÑок Ñайлов в ÑиÑÑемнÑй жÑÑнал. |
||
|
−m |
не вÑполнÑÑÑ ÑÑение /proc/mounts Ð´Ð»Ñ Ð¿Ð¾Ð»ÑÑÐµÐ½Ð¸Ñ ÑпиÑка монÑиÑований без seclabel, коÑоÑÑе ÑледÑÐµÑ Ð¸ÑклÑÑиÑÑ Ð¸Ð· пÑовеÑок Ñ Ð¿Ð¾Ð²ÑоÑнÑм пÑоÑÑавлением меÑок. УÑÑановка ÑÑого паÑамеÑÑа полезна пÑи налиÑии ÑмонÑиÑованной Ñайловой ÑиÑÑÐµÐ¼Ñ Ð±ÐµÐ· seclabel, в коÑоÑой в ÑаÑположенном ниже каÑалоге ÑмонÑиÑована ÑÐ°Ð¹Ð»Ð¾Ð²Ð°Ñ ÑиÑÑема Ñ seclabel. |
||
|
−n |
не изменÑÑÑ Ð¼ÐµÑки Ñайлов (паÑÑÐ¸Ð²Ð½Ð°Ñ Ð¿ÑовеÑка). |
−o outfilename
ÑÑÐ¾Ñ Ð¿Ð°ÑамеÑÑ ÑÑÑаÑел и болÑÑе не поддеÑживаеÑÑÑ.
|
−p |
показÑваÑÑ Ñод вÑполнениÑ, вÑÐ²Ð¾Ð´Ñ ÐºÐ¾Ð»Ð¸ÑеÑÑво обÑабоÑаннÑÑ Ñайлов (единиÑа измеÑÐµÐ½Ð¸Ñ – блок ÑазмеÑом 1 ÐÐ (Ñо еÑÑÑ 1000 Ñайлов)). ÐÑли вÑполнÑеÑÑÑ Ð¿Ð¾Ð²ÑоÑное пÑоÑÑавление меÑок во вÑей ÐС, бÑÐ´ÐµÑ Ð¿Ð¾ÐºÐ°Ð·Ð°Ð½ пÑимеÑнÑй пÑоÑÐµÐ½Ñ Ð²ÑполнениÑ. ÐбÑаÑиÑе внимание, ÑÑо паÑамеÑÑÑ −p и −v ÑвлÑÑÑÑÑ Ð²Ð·Ð°Ð¸Ð¼Ð¾Ð¸ÑклÑÑаÑÑими. |
||
|
−q |
ÑÑÐ¾Ñ Ð¿Ð°ÑамеÑÑ ÑÑÑаÑел, Ñанее иÑполÑзовалÑÑ Ð´Ð»Ñ Ð¿ÑекÑаÑÐµÐ½Ð¸Ñ Ð²Ñвода паÑамеÑÑов аÑÑоÑиаÑий индекÑнÑÑ Ð´ÐµÑкÑипÑоÑов (inode). |
−r rootpath
иÑполÑзоваÑÑ Ð°Ð»ÑÑеÑнаÑивнÑй коÑневой пÑÑÑ. ÐÑполÑзÑеÑÑÑ Ð² meta-selinux Ð´Ð»Ñ ÑбоÑок OpenEmbedded/Yocto, ÑÑÐ¾Ð±Ñ Ð¿ÑоÑÑавиÑÑ Ð¼ÐµÑки Ð´Ð»Ñ Ñайлов в каÑалоге rootpath Ñаким обÑазом, как еÑли Ð±Ñ Ð¾Ð½Ð¸ бÑли в /
|
−s |
взÑÑÑ ÑпиÑок Ñайлов из ÑÑандаÑÑного ввода, а не иÑполÑзоваÑÑ Ð¿ÑÑÑ Ð¸Ð· командной ÑÑÑоки (ÑквиваленÑно “−f −” ). |
||
|
−v |
показаÑÑ Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ð¼ÐµÑок Ð´Ð»Ñ Ñайлов и вÑвеÑÑи паÑамеÑÑÑ Ð°ÑÑоÑиаÑий индекÑнÑÑ Ð´ÐµÑкÑипÑоÑов (inode). ÐбÑаÑиÑе внимание, ÑÑо паÑамеÑÑÑ −v и −p ÑвлÑÑÑÑÑ Ð²Ð·Ð°Ð¸Ð¼Ð¾Ð¸ÑклÑÑаÑÑими. |
||
|
−W |
показаÑÑ Ð¿ÑедÑпÑÐµÐ¶Ð´ÐµÐ½Ð¸Ñ Ð¾ запиÑÑÑ, Ð´Ð»Ñ ÐºÐ¾ÑоÑÑÑ Ð½Ðµ обнаÑÑÐ¶ÐµÐ½Ñ ÑооÑвеÑÑÑвÑÑÑие ÑайлÑ, Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ Ð²Ñвода ÑезÑлÑÑаÑов selabel_stats(3). |
||
|
−0 |
пÑедполагаеÑÑÑ, ÑÑо ÑазделиÑелем Ð´Ð»Ñ ÑлеменÑов ввода ÑвлÑеÑÑÑ Ñимвол нÑÐ»Ñ (вмеÑÑо пÑобела). Ð¡Ð¸Ð¼Ð²Ð¾Ð»Ñ ÐºÐ°Ð²ÑÑек и обÑаÑной коÑой ÑеÑÑÑ Ñакже ÑÑиÑаÑÑÑÑ Ð¾Ð±ÑÑнÑми Ñимволами, коÑоÑÑе могÑÑ ÑоÑмиÑоваÑÑ Ð´Ð¾Ð¿ÑÑÑимÑй ввод. ÐÑÐ¾Ñ Ð¿Ð°ÑамеÑÑ Ñакже оÑклÑÑÐ°ÐµÑ ÑÑÑÐ¾ÐºÑ ÐºÐ¾Ð½Ñа Ñайла (end-of-file string), она обÑабаÑÑваеÑÑÑ, как лÑбой дÑÑгой аÑгÑменÑ. ÐÑо полезно, еÑли ÑлеменÑÑ Ð²Ð²Ð¾Ð´Ð° ÑодеÑÐ¶Ð°Ñ Ð¿ÑобелÑ, кавÑÑки или обÑаÑнÑе коÑÑе ÑеÑÑÑ. ÐаÑамеÑÑ -print0 GNU find пÑÐ¾Ð¸Ð·Ð²Ð¾Ð´Ð¸Ñ Ð²Ð²Ð¾Ð´, подÑодÑÑий Ð´Ð»Ñ ÑÑого Ñежима. |
ÐÐ ÐУÐÐÐТЫ
spec_file
Файл ÑпеÑиÑикаÑии, ÑодеÑжаÑий ÑÑÑоки ÑледÑÑÑего вида:
regexp [type] context | <
РегÑлÑÑное вÑÑажение пÑивÑзÑваеÑÑÑ Ñ Ð¾Ð±Ð¾Ð¸Ñ ÐºÐ¾Ð½Ñов. ÐеобÑзаÑелÑное поле type ÑказÑÐ²Ð°ÐµÑ Ñип Ñайла (показÑваеÑÑÑ Ð² поле Ñежима по команде ls(1) ), напÑимеÑ, −− Ð´Ð»Ñ ÑооÑвеÑÑÑÐ²Ð¸Ñ ÑолÑко обÑÑнÑм Ñайлам или −d Ð´Ð»Ñ ÑооÑвеÑÑÑÐ²Ð¸Ñ ÑолÑко каÑалогам. context Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ Ð¾Ð±ÑÑнÑм конÑекÑÑом безопаÑноÑÑи или ÑÑÑокой <
ÐÑполÑзÑеÑÑÑ Ð¿Ð¾ÑледнÑÑ ÑооÑвеÑÑÑвÑÑÑÐ°Ñ ÑпеÑиÑикаÑиÑ. ÐÑли на Ñайл имееÑÑÑ Ð½ÐµÑколÑко жÑÑÑÐºÐ¸Ñ ÑÑÑлок, коÑоÑÑе ÑооÑвеÑÑÑвÑÑÑ ÑазнÑм ÑпеÑиÑикаÑиÑм, и ÑÑи ÑпеÑиÑикаÑии ознаÑаÑÑ ÑазнÑе конÑекÑÑÑ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи, бÑÐ´ÐµÑ Ð¿Ð¾ÐºÐ°Ð·Ð°Ð½Ð¾ пÑедÑпÑеждение, но Ð´Ð»Ñ Ñайла вÑÑ Ñавно бÑÐ´ÐµÑ Ð¿ÑоÑÑавлена меÑка на оÑнове поÑледней ÑооÑвеÑÑÑвÑÑÑей ÑпеÑиÑикаÑии, оÑлиÑной Ð¾Ñ <
pathname …
ÐÑÑÑ Ðº коÑÐ½ÐµÐ²Ð¾Ð¼Ñ ÐºÐ°ÑÐ°Ð»Ð¾Ð³Ñ ÐºÐ°Ð¶Ð´Ð¾Ð¹ Ñайловой ÑиÑÑемÑ, в коÑоÑой ÑледÑÐµÑ Ð¿Ð¾Ð²ÑоÑно пÑоÑÑавиÑÑ Ð¼ÐµÑки, или конкÑеÑнÑй каÑалог в Ñайловой ÑиÑÑеме, по коÑоÑÐ¾Ð¼Ñ ÑледÑÐµÑ ÑекÑÑÑивно ÑпÑÑÑиÑÑÑÑ Ð¸ повÑоÑно пÑоÑÑавиÑÑ Ð¼ÐµÑки, или пÑÑÑ Ðº ÑайлÑ, Ð´Ð»Ñ ÐºÐ¾ÑоÑого ÑледÑÐµÑ Ð¿Ð¾Ð²ÑоÑно пÑоÑÑавиÑÑ Ð¼ÐµÑкÑ. Ðе иÑполÑзÑеÑÑÑ, еÑли иÑполÑзÑеÑÑÑ Ð¿Ð°ÑамеÑÑ −f или −s .
ÐÐ ÐÐÐЧÐÐÐЯ
|
1. |
setfiles ÑледÑÐµÑ Ð¿Ð¾ ÑимволиÑеÑким ÑÑÑлкам и ÑекÑÑÑивно пÑименÑеÑÑÑ Ðº каÑалогам. |
||
|
2. |
ÐÑли в pathname Ñказан коÑневой каÑалог, ÑÑÑановлен паÑамеÑÑ −v , а Ñакже запÑÑена ÑиÑÑема аÑдиÑа, в жÑÑнал Ñ Ð¼ÐµÑкой ÑообÑÐµÐ½Ð¸Ñ FS_RELABEL авÑомаÑиÑеÑки запиÑÑваеÑÑÑ ÑобÑÑие аÑдиÑа, коÑоÑое ÑодеÑÐ¶Ð¸Ñ ÑообÑение о Ñом, ÑÑо пÑоизоÑло “маÑÑовое повÑоÑное пÑоÑÑавление меÑок”. |
||
|
3. |
ÐÐ»Ñ Ð¿Ð¾Ð²ÑÑÐµÐ½Ð¸Ñ Ð¿ÑоизводиÑелÑноÑÑи пÑи ÑекÑÑÑивном повÑоÑном пÑоÑÑавлении меÑок в ÑайловÑÑ ÑиÑÑÐµÐ¼Ð°Ñ Ð¸ÑполÑзÑеÑÑÑ Ð¿Ð°ÑамеÑÑ −D ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ setfiles . Ðн обеÑпеÑÐ¸Ð²Ð°ÐµÑ ÑоÑÑанение дайджеÑÑа SHA1 Ñайла ÑпеÑиÑикаÑии spec_file в ÑаÑÑиÑенном аÑÑибÑÑе Ñ Ð¸Ð¼ÐµÐ½ÐµÐ¼ security.restorecon_last Ð´Ð»Ñ ÐºÐ°Ñалога, Ñказанного в ÑооÑвеÑÑÑвÑÑÑем пÑÑи pathname … , поÑле ÑÑпеÑного завеÑÑÐµÐ½Ð¸Ñ Ð¿Ð¾Ð²ÑоÑного пÑоÑÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð¼ÐµÑок. ÐÑÐ¾Ñ Ð´Ð°Ð¹Ð´Ð¶ÐµÑÑ Ð±ÑÐ´ÐµÑ Ð¿ÑовеÑен, еÑли команда setfiles −D бÑÐ´ÐµÑ Ð¿ÐµÑезапÑÑена Ñ Ñеми же паÑамеÑÑами spec_file и pathname ÐодÑобнÑе ÑÐ²ÐµÐ´ÐµÐ½Ð¸Ñ Ð´Ð¾ÑÑÑÐ¿Ð½Ñ Ð² selinux_restorecon(3). |
ÐаÑамеÑÑ −I позволÑÐµÑ Ð¸Ð³Ð½Ð¾ÑиÑоваÑÑ Ð´Ð°Ð¹Ð´Ð¶ÐµÑÑ SHA1 из каждого каÑалога, Ñказанного в pathname … , и, пÑи ÑÑловии, ÑÑо ÐÐ ÑÑÑановлен паÑамеÑÑ −n , Ð´Ð»Ñ Ñайлов бÑдÑÑ Ð½ÐµÐ¾Ð±ÑодимÑм обÑазом повÑоÑно пÑоÑÑÐ°Ð²Ð»ÐµÐ½Ñ Ð¼ÐµÑки, а дайджеÑÑ Ð·Ð°Ñем бÑÐ´ÐµÑ Ð¾Ð±Ð½Ð¾Ð²Ð»Ñн (еÑли не бÑÐ´ÐµÑ Ð¾Ñибок).
СÐÐТРÐТРТÐÐÐÐ
restorecon(8), load_policy(8), checkpolicy(8)
ÐÐТÐРЫ
ÐÑа man-ÑÑÑаниÑа бÑла напиÑана Russell Coker