.TH "selinux_config" "5" "18 ноября 2011" "Security Enhanced Linux" "Файл конфигурации SELinux"

.SH "ИМЯ"
config \- файл конфигурации подсистемы SELinux.

.SH "ОПИСАНИЕ"
Файл \fIconfig\fR SELinux управляет состоянием SELinux, определяя:
.RS
.IP "1." 4
Состояние применения политики \- \fIenforcing\fR (принудительный режим), \fIpermissive\fR (разрешительный режим) или \fIdisabled\fR (отключена).
.IP "2." 4
Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.
.IP "3." 4
Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).
.IP "4." 4
Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.
.IP "5." 4
Следует ли повторно проставлять метки в системе.
.RE

Описание записей, которые управляют этими возможностями, приводится в разделе \fBФОРМАТ ФАЙЛА\fR.
.sp
Полный путь к файлу конфигурации SELinux: \fI/etc/selinux/config\fR.
.sp
Если файл \fIconfig\fR отсутствует или повреждён, политика SELinux не будет загружена (то есть SELinux будет отключён).
.sp
Команда \fBsestatus\fR (8) и функция libselinux \fBselinux_path\fR (3) возвращают расположение файла \fIconfig\fR.

.SH "ФОРМАТ ФАЙЛА"
Файл \fIconfig\fR поддерживает следующие параметры:
.sp
.RS
\fBSELINUX = \fIenforcing\fR | \fIpermissive\fR | \fIdisabled\fR
.br
\fBSELINUXTYPE = \fIpolicy_name\fR
.br
\fBSETLOCALDEFS = \fI0\fR | \fI1\fR
.br
\fBREQUIREUSERS = \fI0\fR | \fI1\fR
.br
\fBAUTORELABEL = \fI0\fR | \fI1\fR
.RE
.sp
Где:
.br
.B SELINUX
.RS
Эта запись может содержать одно из трёх значений:
.RS
.IP \fIenforcing\fR 4
Политика безопасности SELinux применяется.
.IP \fIpermissive\fR 4
Политика безопасности SELinux не применяется, но ведётся журналирование предупреждений (то есть действиям разрешено продолжать выполняться).
.IP \fIdisabled\fR
SELinux отключён, политика не загружена.
.RE
.sp
Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getenforcemode\fR(3).
.RE
.sp
.B SELINUXTYPE
.RS
Запись \fIpolicy_name\fR используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации.
.sp
Значение записи можно узнать с помощью команды \fBsestatus\fR(8) или \fBselinux_getpolicytype\fR(3).
.sp
\fIpolicy_name\fR относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью \fBselinux_path\fR(3). Пример записи, полученной с помощью \fBselinux_path\fR(3):
.br
.RS
.I /etc/selinux/
.RE
.sp
Затем к концу этой записи добавляется \fIpolicy_name\fR, и она становится корневым расположением политики, которое может быть получено с помощью \fBselinux_policy_root_path\fR(3). Пример полученной записи:
.RS
.I /etc/selinux/targeted
.RE
.sp
Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью \fBselinux_binary_policy_path\fR(3). Пример записи, полученной с помощью \fBselinux_binary_policy_path\fR(3):
.br
.RS
.I /etc/selinux/targeted/policy/policy
.RE
.sp
По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды \fBsestatus\fR(8) или \fBsecurity_policyvers\fR(3). Пример файла двоичной политики с версией:
.br
.RS
.I /etc/selinux/targeted/policy/policy.24
.RE
.RE
.sp
.B SETLOCALDEFS
.RS
Эта запись устарела. Следует её удалить или задать для неё значение \fI0\fR.
.sp
Если задано значение \fI1\fR, \fBselinux_mkload_policy\fR(3) выполнит чтение логических переключателей (см. \fBbooleans\fR(5)) и пользователей (см. \fBlocal.users\fR(5)) в локальной настройке.
.RE
.sp
.B REQUIRESEUSERS
.RS
Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле 
.BR seusers "(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл " seusers ". "
.sp
Она проверяется функцией \fBgetseuserbyname\fR(3), которая вызывается поддерживающими SELinux приложениями для входа, например, \fBPAM\fR(8).
.sp
Если задано значение \fI0\fR или отсутствует запись:
.RS
.BR getseuserbyname "(3) вернёт имя пользователя GNU / Linux в качестве пользователя SELinux."
.RE
.sp
Если задано значение \fI1\fR:
.RS
.BR getseuserbyname "(3) не удастся выполнить."
.RE
.sp
Описание работы \fBgetseuserbyname\fR(3) содержится на соответствующей man-странице. Формат файла \fIseusers\fR показан в \fBseusers\fR(5).
.sp
.RE
.sp
.B AUTORELABEL
.RS
Эта необязательная запись позволяет повторно проставлять метки в файловой системе.
.sp
Если задано значение \fI0\fR и в корневом каталоге имеется файл с именем \fI.autorelabel\fR, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.
.sp
Если задано значение \fI1\fR или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл \fI.autorelabel\fR, в файловой системе с помощью \fBfixfiles \-F restore\fR будут автоматически повторно проставлены метки.
.sp
В обоих случаях файл \fI/.autorelabel\fR будет удалён, чтобы предотвратить последующее повторное проставление меток.
.RE
.sp

.SH "ПРИМЕР"
В этом примере показано минимальное содержимое файла \fIconfig\fR, которое обеспечит запуск SELinux в системе в принудительном режиме, со значением \fIpolicy_name\fR 'targeted':
.sp
.RS
SELINUX = enforcing
.br
SELINUXTYPE = targeted
.RE

.SH "СМОТРИТЕ ТАКЖЕ"
.BR selinux "(8), " sestatus "(8), " selinux_path "(3), " selinux_policy_root_path "(3), " selinux_binary_policy_path "(3), " getseuserbyname "(3), " PAM "(8), " fixfiles "(8), " selinux_mkload_policy "(3), " selinux_getpolicytype "(3), " security_policyvers "(3), " selinux_getenforcemode "(3), " seusers "(5), " booleans "(5), " local.users "(5) "


.SH АВТОРЫ
Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.