Product SiteDocumentation Site

5.9. Монтирование файловых систем

По умолчанию, когда монтируется файловая система, поддерживающая расширенные атрибуты, контекст безопасности для каждого файла получается из расширенного атрибута security.selinux файла. Файлам в файловой системе, не имеющих расширенных атрибутов, присваивается контекст безопасности по умолчанию, в соотвествтии с политикой безопасности, в зависмости от типа файловой системы.
Используйте команду mount -o context для переопределения существующих атрибутов, или укажите другой контекст по умолчанию для файловых систем, не поддерживающих расширенные атрибуты. Это полезно, если используются не доверенные файловые системы для получения расширенных атрибутов, например, сменных носителей, используемых в различных системах. Команда mount -o context может также использоваться для установки меток для файловых систем, которые не поддерживают расширенные атрибуты, такие как File Allocation Table (FAT) или NFS. Контекст указанный опцией context не записывается на диск: исходный контекст сохраняется и виден, если файловая система подключена без опции context (если у файловой системы есть расширенные атрибуты, в корректном порядке).
Дополнительная информации о метках файловых систем, доступна по ссылке James Morris's "Filesystem Labeling in SELinux" article: http://www.linuxjournal.com/article/7426.

5.9.1. Монтирование контекста

Для монтирования файловой системы с определенным контекстом, переопределяющим уже существующий контекст или указывающий другой контекст по умолчанию для файловой системы, не использующей расширенные атрибуты, от имени пользователя root используется команда mount -o context=SELinux_user:role:type:level для подключения нужной файловой системы. Изменения контекста не записываются на диск. По умолчанию, при монтировании NFS на стороне клиента, файловой системе присваивается контекст, назначенный политикой для файловых систем NFS. В большинстве политик, этот контекст использует тип nfs_t. Без дополнительных опций монтирования, такой тип, может привести к отказам в доступе к файловым системам NFS для других служб, таких как Apache HTTP Server. В следующем примере, показывается как монтировать файловую систему NFS так, чтобы предоставлялся доступ для Apache HTTP Server:
# mount server:/export /local/mount/point -o\
context="system_u:object_r:httpd_sys_content_t:s0"
Вновь созданные файлы и директории в этих файловых системах появляются с контекстом, указанным опцией -o context: однако, так как изменения контекста не записываются на диск, то для таких ситуаций, контекст указанный опцией context сохраняется, только если опция context используется при следующем монтировании и с указанием того же самого контекста.
Type Enforcement - это основное средство управления используемое в целевой политике targeted SELinux. В большинстве ситуаций, роли и пользователи SELinux игнорируются, таким образом при переназначении контекста опцией -o context, используйте пользователя SELinux system_u и роль object_r, и сконцентрируйтесь на типе. Если не используется политика MLS или мульти-категорийная политика безопасности, используйте уровень s0.

Примечание

Когда файловая система монтирована с опцией context, изменения контекста (пользователями и процессами) запрещаются. Например, выполнение chcon на файловой системе, монтированной с опцией context завершится с ошибкой Operation not supported.