Product SiteDocumentation Site

Глава 5. Работа с SELinux

5.1. Пакеты SELinux
5.2. Используемые Log-файлы
5.3. Основной конфигурационный файл
5.4. Включение и Отключение SELinux
5.4.1. Включение SELinux
5.4.2. Отключение SELinux
5.5. Режимы SELinux
5.6. Булевые значения (Переключатели)
5.6.1. Список Переключателей
5.6.2. Конфигурирование Переключателей
5.6.3. Булевы переключатели для NFS и CIFS
5.7. Контексты SELinux - Маркирование файлов
5.7.1. Временные изменения: chcon
5.7.2. Постоянные изменения: semanage fcontext
5.8. Типы file_t и default_t
5.9. Монтирование файловых систем
5.9.1. Монтирование контекста
5.9.2. Изменение контекста по умолчанию
5.9.3. Монтирование файловой системы NFS
5.9.4. Многократное монтирование NFS
5.9.5. Создание постоянных контекстных монтирований
5.10. Поддержка Меток SELinux
5.10.1. Копирование файлов и каталогов
5.10.2. Перемещение (Moving) файлов и каталогов
5.10.3. Изменение контекста SELinux по умолчанию
5.10.4. Архивирование файлов с помощью tar
5.10.5. Архивирование файлов с помощью star
В следующих разделах приведен краткий обзор главных пакетов SELinux в Fedora; установка и обновление пакетов; показано какие файлы журналов используются; рассмотрен основной конфигурационный файл SELinux; включение и отключение SELinux; режимы SELinux; конфигурирование Булевых значений; временное или перманентное изменение меток файлов и директорий; перекрытие меток файловой системы с помощью команды mount; монтирование файловых систем NFS; а также, как сохранение контекстов SELinux при копировании и архивировании файлов и каталогов.

5.1. Пакеты SELinux

В Fedora пакеты SELinux установлены по умолчанию, если они не были вручную исключены из списка инсталляции при установке операционной системы. По умолчанию используется целевая политика targeted, SELinux запущен в принудительном режиме enforcing. Ниже приведено краткое описание основных пакетов SELinux:
policycoreutils: предоставляет утилиты, такие как semanage, restorecon, audit2allow, semodule, load_policy и setsebool, для работы и управления SELinux.
policycoreutils-gui: предоставляет system-config-selinux, графический инструмент для управления SELinux.
selinux-policy: предоставляет SELinux Refence Policy (Базовую Политику SELinux). SELinux Reference Policy это полная политика SELinux, которая используется как основа для других политик, таких как целевая SELinux targeted. За более подробной информацией можно обратиться к SELinux Reference Policy Tresys Technology. Пакет selinux-policy-devel предоставляет средства разработки, такие как /usr/share/selinux/devel/policygentool и /usr/share/selinux/devel/policyhelp, а также примеры политик. Этот пакет входит в состав пакета selinux-policy.
selinux-policy-policy: предоставляет политики SELinux. Для политики целевая (targeted), установите selinux-policy-targeted. Для MLS установите selinux-policy-mls. В Fedora 8, политика strict включена в политику targeted, позволяя ограниченным и неограниченным пользователям, сосуществовать в пределах одной системы.
setroubleshoot-server: расшифровывает сообщения о запретах, вызванных при запретах доступа SELinux, в детальные описания, которые можно просмотреть командой sealert (предоставляемой в этом же пакете).
setools, setools-gui, и setools-console: эти пакеты от Tresys Technology SETools distribution, предоставляют набор инструментов и библиотек для анализа и просмотра политик, мониторинга журнала аудита и отчетности, а также управления контекстами файлов [8]. Пакет setools - это мета-пакет инструментария SETools. Пакет setools-gui предоставляет набор инструментов apol, seaudit и sediffx. Пакет setools-console предоставляет утилиты командной строки: seaudit-report, sechecker, sediff, seinfo, sesearch, findcon, replcon, и indexcon. Дополнительная информация по данным утилитам доступна по ссылке: Tresys Technology SETools.
libselinux-utils: предоставляет инструменты avcstat, getenforce, getsebool, matchpathcon, selinuxconlist, selinuxdefcon, selinuxenabled, setenforce, togglesebool.
mcstrans: транслирует (переводит) значения уровней, такие как s0-s0:c0.c1023, в доступную и легковоспринимаю форму, как SystemLow-SystemHigh. Этот пакет не установлен по умолчанию.
Для установки пакетов в Fedora, от имени root пользователя выполните команду yum install package-name. Например для инсталляции пакета mcstrans, выполните команду yum install mcstrans. Для обновления уже установленных пакетов в Fedora, выполните команду yum update.
За полной информацией об использовании менеджера пакетов yum можно обратиться к Managing Software with yum[9]

Примечание

В предыдущих версиях Fedora, пакет selinux-policy-devel требовался при сборке модуля локальной политики с помощью команды audit2allow -M.


[8] Brindle, Joshua. "Re: blurb for fedora setools packages" Email to Murray McAllister. 1 November 2008. Any edits or changes in this version were done by Murray McAllister.
[9] Managing Software with yum, written by Stuart Ellis, edited by Paul W. Frields, Rodrigo Menezes, and Hugo Cisneiros.