Product SiteDocumentation Site

5.6. Булевые значения (Переключатели)

Переключатели позволяют изменять части политики SELinux во время работы (без перезапуска и остановки), не обладая глубоким пониманием создания политики SELinux. Это позволяет вносить изменения, такие как: разрешение доступа службам к файловым системам NFS, без перезагрузки или рекомпиляции политики SELinux.

5.6.1. Список Переключателей

Для получения списка переключателей, объяснения, за что отвечает каждый переключатель, включен или выключен, необходимо выполнить команду semanage boolean -l от имени пользователя root. В примере, показанном ниже, показаны не все переключатели:
# /usr/sbin/semanage boolean -l
SELinux boolean                          Description

ftp_home_dir                   -> off   Allow ftp to read and write files in the user home directories
xen_use_nfs                    -> off   Allow xen to manage nfs files
xguest_connect_network         -> on    Allow xguest to configure Network Manager
Столбец SELinux boolean содержит названия Булевых переключателей. Столбец Description содержит статус выключено или выключено (on или off) и действие, за которое отвечает переключатель.
В следующем примере переключатель ftp_home_dir отключен, блокирует демона FTP (vsftpd) на чтение и запись в файлы в домашних каталогах пользователей:
ftp_home_dir                   -> off   Allow ftp to read and write files in the user home directories
Команда getsebool -a выводит список переключателей, показывает выключены они или нет, но не даёт описания, за что они отвечают. В следующем примере перечислены не все переключатели:
$ /usr/sbin/getsebool -a
allow_console_login --> off
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on
Для получения статуса одного конкретного Булева значения (переключателя) boolean-name используется команда getsebool boolean-name
$ /usr/sbin/getsebool allow_console_login
allow_console_login --> off
Для вывода значения множества Булевых значений используется список разделенный пробелами:
$ getsebool allow_console_login allow_cvs_read_shadow allow_daemons_dump_core
allow_console_login --> off
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on