1.

Состояние применения политики - enforcing (принудительный режим), permissive (разрешительный режим) или disabled (отключена).

2.

Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.

3.

Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).

4.

Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.

5.

Следует ли повторно проставлять метки в системе.

SELINUX = enforcing | permissive | disabled
SELINUXTYPE = policy_name
REQUIRESEUSERS = 0 | 1
AUTORELABEL = 0 | 1

Эта запись может содержать одно из трёх значений:

Значение записи можно узнать с помощью команды sestatus(8) или selinux_getenforcemode(3).

Запись policy_name используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации.

Значение записи можно узнать с помощью команды sestatus(8) или selinux_getpolicytype(3).

policy_name относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью selinux_path(3). Пример записи, полученной с помощью selinux_path(3):

Затем к концу этой записи добавляется policy_name, и она становится корневым расположением политики, которое может быть получено с помощью selinux_policy_root_path(3). Пример полученной записи:

Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью selinux_binary_policy_path(3). Пример записи, полученной с помощью selinux_binary_policy_path(3):

По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды sestatus(8) или security_policyvers(3). Пример файла двоичной политики с версией:

Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле seusers(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл seusers.

Она проверяется функцией getseuserbyname(3), которая вызывается поддерживающими SELinux приложениями для входа, например, PAM(8).

Если задано значение 0 или отсутствует запись:

Если задано значение 1:

Описание работы getseuserbyname(3) содержится на соответствующей man-странице. Формат файла seusers показан в seusers(5).

Эта необязательная запись позволяет повторно проставлять метки в файловой системе.

Если задано значение 0 и в корневом каталоге имеется файл с именем .autorelabel, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе.

Если задано значение 1 или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл .autorelabel, в файловой системе с помощью fixfiles -F restore будут автоматически повторно проставлены метки.

В обоих случаях файл /.autorelabel будет удалён, чтобы предотвратить последующее повторное проставление меток.

SELINUX = enforcing
SELINUXTYPE = targeted