Linux repositories inspector

selinux(8) - Russkiy

dwalsh@redhat.com

libselinux-utils

SELinux libselinux utilities

selinux-utils

SELinux utility programs

selinux-tools

SELinux command-line utilities

ИМЯ

SELinux - Linux с улучшенной безопасностью от NSA (SELinux)

ОПИСАНИЕ

Linux с улучшенной безопасностью от NSA - это реализация гибкой архитектуры мандатного управления доступом в операционной системе Linux. Архитектура SELinux предоставляет общую поддержку использования различных видов политик мандатного управления доступом, включая основанные на концепциях Type Enforcement® (принудительное присвоение типов), Role-Based Access Control (управление доступом на основе ролей) и Multi-Level Security (многоуровневая безопасность). Дополнительная информация и техническая документация по SELinux доступна по адресу https://github.com/SELinuxProject.
Файл конфигурации /etc/selinux/config позволяет управлять включением и отключением SELinux и, если SELinux включён, устанавливать режим его работы - разрешительный или принудительный. Переменной SELINUX можно задать значение отключённой, разрешительной или принудительной, чтобы выбрать один из этих вариантов. Если выбрать отключение режима, код ядра и приложения SELinux будет полностью отключён, система будет работать без какой-либо защиты SELinux. При установке разрешительного режима код SELinux включён, но не выполняет отказы в доступе, а только журналирует те действия, которые были бы запрещены при принудительном режиме. При установке принудительного режима код SELinux включён, выполняет отказы в доступе и журналирует соответствующие попытки доступа. Набор отказов в доступе в разрешительном режиме может отличаться от этого набора в принудительном режиме как по причине того, что принудительный режим предотвращает дальнейшее выполнение операции после первого отказа, так и из-за того, что после получения отказа в доступе часть кода приложения вернётся к работе в менее привилегированном режиме.
Файл конфигурации /etc/selinux/config также управляет тем, какая политика активна в системе. SELinux позволяет установить в системе несколько политик, но одновременно можно использовать только одну из них. В настоящее время имеется несколько видов политики SELinux, например, целевая политика (targeted), политика многоуровневой безопасности (mls). Целевая политика позволяет большинству процессов пользователя выполняться без ограничений, помещая в отдельные домены безопасности, ограниченные политикой, только отдельные службы. Например, процессы пользователя выполняются в никак не ограниченном домене, в то время как именованная управляющая программа или управляющая программа apache будет выполняться в отдельном специально настроенном домене. Если используется политика MLS (Multi-Level Security), все процессы будут разделены по детально настроенным доменам безопасности и ограничены политикой. MLS также поддерживает модель Белла — Лападулы, в которой процессы ограничиваются не только по типу, но и по уровню данных.
Чтобы определить, какая политика будет выполняться, следует установить переменную среды SELINUXTYPE в /etc/selinux/config. Чтобы применить к системе изменение типа политики, необходимо перезагрузить систему и, возможно, повторно проставить метки. В каталогах /etc/selinux/{SELINUXTYPE}/ необходимо установить для каждой такой политики соответствующую конфигурацию.
Дальнейшую настройку отдельной политики SELinux можно выполнить с помощью набора настраиваемых при компиляции параметров и набора логических переключателей среды выполнения политики. system-config-selinux позволяет настроить эти логические переключатели и настраиваемые параметры.
Многие домены, которые защищены SELinux, также содержат man-страницы SELinux с информацией о настройке соответствующей политики.

ПРОСТАВЛЕНИЕ МЕТОК ДЛЯ ФАЙЛОВ

Всем файлам, каталогам, устройствам ... назначены контексты безопасности/метки. Эти контексты хранятся в расширенных атрибутах файловой системы. Проблемы с SELinux часто возникают из-за неправильного проставления меток в файловой системе. Это может быть вызвано загрузкой компьютера с ядром, отличным от SELinux. Появление сообщения об ошибке, содержащего file_t, обычно означает серьёзную проблему с проставлением меток в файловой системе.
Лучшим способом повторного проставления меток в файловой системе является создание файла флага /.autorelabel и последующая перезагрузка. system-config-selinux также имеет эту функциональность. Кроме того, для повторного проставления меток для файлов можно использовать команды restorecon/fixfiles.

ФАЙЛЫ

/etc/selinux/config

СМОТРИТЕ ТАКЖЕ

booleans(8), setsebool(8), sepolicy(8), system-config-selinux(8), togglesebool(8), restorecon(8), fixfiles(8), setfiles(8), semanage(8), sepolicy(8)
Для каждой ограниченной службы в системе имеется man-cтраница следующего формата:
<servicename>_selinux(8)
Например, для службы httpd имеется страница httpd_selinux(8).
man -k selinux
Выведет список всех man-страниц SELinux.

АВТОРЫ

Эта страница руководства была написана Dan Walsh <>. Перевод на русский язык выполнила Герасименко Олеся <>.

REFERENCED BY

keyrings(7), avc_add_callback(3), avc_cache_stats(3), avc_compute_create(3), avc_context_to_sid(3), avc_has_perm(3), avc_init(3), avc_netlink_loop(3), avc_open(3), context_new(3), get_ordered_context_list(3), getcon(3), getexeccon(3), getfilecon(3), getfscreatecon(3), getkeycreatecon(3), getseuserbyname(3), getsockcreatecon(3), init_selinuxmnt(3), is_context_customizable(3), is_selinux_enabled(3), matchmediacon(3), matchpathcon(3), matchpathcon_checkmatches(3), security_check_context(3), security_class_to_string(3), security_compute_av(3), security_disable(3), security_getenforce(3), security_load_booleans(3), security_load_policy(3), security_policyvers(3), selabel_digest(3), selabel_lookup(3), selabel_lookup_best_match(3), selabel_open(3), selabel_partial_match(3), selabel_stats(3), selinux_binary_policy_path(3), selinux_check_securetty_context(3), selinux_colors_path(3), selinux_file_context_cmp(3), selinux_file_context_verify(3), selinux_getenforcemode(3), selinux_getpolicytype(3), selinux_lsetfilecon_default(3), selinux_policy_root(3), selinux_raw_context_to_color(3), selinux_set_callback(3), selinux_set_mapping(3), set_matchpathcon_flags(3), mount(8), selinux_config(5), sestatus.conf(5), sestatus(8), postfix-nochroot(8), selinux-config-enforcing(8), selinux-policy-upgrade(8), booleans(5), customizable_types(5), default_contexts(5), default_type(5), failsafe_context(5), local.users(5), removable_context(5), secolor.conf(5), securetty_types(5), selabel_db(5), selabel_file(5), selabel_media(5), selabel_x(5), service_seusers(5), seusers(5), user_contexts(5), virtual_domain_context(5), virtual_image_context(5), avcstat(8), booleans(8), getenforce(8), getsebool(8), matchpathcon(8), sefcontext_compile(8), selinuxenabled(8), setenforce(8), togglesebool(8), semanage-ibendport(8), semanage-ibpkey(8), semanage-boolean(8), semanage-dontaudit(8), semanage-export(8), semanage-fcontext(8), semanage-interface(8), semanage-login(8), semanage-module(8), semanage-permissive(8), semanage-port(8), semanage-user(8), semanage(8), crontab(1), crontab(5), sealert(8), xattr(7), attr(5), udica(8), selabel_get_digests_all_partial_matches(3), seapplet(1)
⇧ Top