Scroll to navigation

restorecon(8) Команда пользователя SELinux restorecon(8)

ИМЯ

restorecon - восстановить SELinux-контексты безопасности файлов по умолчанию.

ОБЗОР

restorecon [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W] [-I|-D] [-e directory] pathname ...

restorecon [-f infilename] [-e directory] [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W] [-I|-D]

ОПИСАНИЕ

Эта страница руководства содержит описание программы restorecon.

Эта программа используется в основном для установки контекста безопасности (расширенных атрибутов) для одного или нескольких файлов.

Также можно запустить её в любой момент, чтобы исправить некорректные метки, добавить поддержку недавно установленной политики или, используя параметр -n , пассивно проверить, соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию).

Если объект файла не имеет контекста, restorecon запишет контекст по умолчанию в расширенные атрибуты объекта файла. Если объект файла имеет контекст, restorecon изменит только ту часть контекста безопасности, которая относится к типу. Параметр -F позволяет принудительно заменить контекст целиком.

Если у файла имеется метка настраиваемого типа SELinux customizable (список настраиваемых типов: /etc/selinux/{SELINUXTYPE}/contexts/customizable_types), restorecon выполнит сброс метки только при условии использования параметра -F.

Эта программа аналогична setfiles, но действует немного другим образом в зависимости от значения argv[0].

ПАРАМЕТРЫ

исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать соответствующее количество раз; необходимо указывать полный путь).
infilename содержит список файлов для обработки. Используйте “-” для stdin.
принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а также тип).
показать сведения об использовании и выйти.
игнорировать файлы, которые не существуют.
игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе ПРИМЕЧАНИЯ.
установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута security.restorecon_last.
не выполнять чтение /proc/mounts для получения списка монтирований без seclabel, которые следует исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге смонтирована файловая система с seclabel.
не изменять метки файлов (пассивная проверка). Чтобы просмотреть файлы, метки которых были бы изменены, добавьте -v.
этот параметр устарел и больше не поддерживается.
показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите внимание, что параметры -p и -v являются взаимоисключающими.
рекурсивно изменить метки файлов для файлов и каталогов (спускаться по каталогам).
показать изменения в метках файлов. Использование нескольких параметров -v увеличивает уровень детализации. Обратите внимание, что параметры -v и -p являются взаимоисключающими.
показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью вывода результатов selabel_stats(3).
-0
предполагается, что разделителем для элементов ввода является символ нуля (вместо пробела). Символы кавычек и обратной косой черты также считаются обычными символами, которые могут формировать допустимый ввод. Этот параметр также отключает строку конца файла (end-of-file string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий для этого режима.

АРГУМЕНТЫ

pathname ... Путь к файлу (файлам), для которых следует повторно проставить метки.

ПРИМЕЧАНИЯ

1.
restorecon не переходит по символическим ссылкам и по умолчанию не работает с каталогами рекурсивно.
2.
Если в pathname указан корневой каталог, установлен параметр -vR или -vr, а также запущена система аудита, в журнал с меткой сообщения FS_RELABEL автоматически записывается событие аудита, которое содержит сообщение о том, что произошло "массовое повторное проставление меток".
3.
Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах (то есть тогда, когда установлен параметр -R или -r ), параметр -D команды restorecon обеспечит сохранение дайджеста SHA1 файлов спецификации по умолчанию в расширенном атрибуте с именем security.restorecon_last для каталогов, указанных в соответствующих путях pathname ... , после успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда restorecon -D будет перезапущена с теми же параметрами pathname. Подробные сведения доступны в selinux_restorecon(3).

Параметр -I позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в pathname ... , и, при условии, что НЕ установлен параметр -n и установлен рекурсивный режим, для файлов будут необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).

СМОТРИТЕ ТАКЖЕ

setfiles(8), fixfiles(8), load_policy(8), checkpolicy(8), customizable_types(5)

АВТОРЫ

Эта man-страница была написана Dan Walsh <dwalsh@redhat.com>. Некоторая часть содержимого этой man-страницы была взята из man-страницы setfiles, написанной Russell Coker <russell@coker.com.au>. Программа была написана Dan Walsh <dwalsh@redhat.com>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.

10 июня 2016