Product SiteDocumentation Site

5.3. Основной конфигурационный файл

Файл /etc/selinux/config - это основной главный конфигурационный файл SELinux. Он определяет режим SELinux и используемую политику SELinux:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#       targeted - Targeted processes are protected,
#       mls - Multi Level Security protection.
SELINUXTYPE=targeted
SELINUX=enforcing
Опция SELINUX устанавливает режим, в котором запущен SELinux. SELinux запускается в трех режимах: enforcing, permissive, и disabled. Когда используется режим enforcing, политика SELinux включена принудительно и SELinux запрещает доступ, основываясь на правилах политики SELinux. Сообщения о запретах доступа журналируются. Когда используется режим permissive, политика SELinux в разрешитиельном режиме. SELinux не отказывает в доступе, но отказы журналируются как действия, которые были бы заблокированы, если SELinux запустить в режиме enforcing. Когда используется режим disabled, SELinux отключен (модуль SELinux не загружается с ядром Linux), и используются только DAC правила контроля доступа.
SELINUXTYPE=targeted
Опция SELINUXTYPE устанавливает политику используемую SELinux. Политика targeted используется по умолчанию. Эта опция изменяется только в том случае, если необходимо использовать политику MLS. Для того, чтобы использовать политику MLS, установите пакет selinux-policy-mls; установите опцию SELINUXTYPE=mls в файле /etc/selinux/config; и перезагрузите операционную систему.

Важно

Когда система запущена с SELinux в режиме permissive или disabled, у пользователей есть права некорректно маркировать файлы. Также, файлы созданные во время того, как SELinux отключен, не маркируются. Это вызывает проблемы, когда режим переводится в состояние enforcing. Для того, чтобы предотвратить некорректную маркировку или появление немаркированных файлов, файловые системы автоматически перемаркируются при изменению с disabled на permissive или enforcing режим.