- bookworm 3.4-1+b2
sepolicy-generate(8) | sepolicy-generate(8) |
ИМЯ¶
sepolicy-generate - создать исходный шаблон модуля политики SELinux.
ОБЗОР¶
Общие параметры
sepolicy generate [-h ] [-p PATH]
Ограниченные приложения
sepolicy generate --application [-n NAME] [-u USER ]command [-w
WRITE_PATH ]
sepolicy generate --cgi [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --dbus [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --inetd [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --init [-n NAME] command [-w WRITE_PATH ]
Ограниченные пользователи
sepolicy generate --admin_user [-r TRANSITION_ROLE] -n NAME
sepolicy generate --confined_admin -n NAME [-a ADMIN_DOMAIN] [-u USER] [-n
NAME] [-w WRITE_PATH]
sepolicy generate --desktop_user -n NAME [-w WRITE_PATH]
sepolicy generate --term_user -n NAME [-w WRITE_PATH]
sepolicy generate --x_user -n NAME [-w WRITE_PATH]
Разное
sepolicy generate --customize -d DOMAIN -n NAME [-a
ADMIN_DOMAIN]
sepolicy generate --newtype -t type -n NAME
sepolicy generate --sandbox -n NAME
ОПИСАНИЕ¶
Используйте команду sepolicy generate для создания модуля политики SELinux.
sepolicy generate создаст 5 файлов.
При указании confined application необходимо указать путь. Команда sepolicy generate будет использовать полезную нагрузку rpm-пакета приложения вместе с nm -D APPLICATION, чтобы создать типы и правила политики для ваших файлов политики.
Файл
принудительного
назначения
типов NAME.te
Этот файл
можно
использовать,
чтобы
определить
для
конкретного
домена все
правила
типов.
Примечание: Политика, созданная с помощью команды sepolicy generate, автоматически добавит разрешительный домен (DOMAIN) в ваш файл .te. Когда вы закончите настройку политики, из файла .te будет необходимо удалить разрешительную строку, чтобы запустить домен в принудительном режиме.
Файл
интерфейсов
NAME.if
Этот файл
определяет
интерфейсы
для
созданных
в файле .te
типов,
которые
могут
использоваться
другими
доменами
политики.
Контексты
файлов NAME.fc
Этот файл
определяет
контексты
файлов по
умолчанию
для
системы; он
берёт типы
файлов,
созданные
в файле .te, и
связывает
пути
файлов с
этими
типами.
Такие
утилиты,
как restorecon и RPM,
будут
использовать
эти пути
для
проставления
меток.
Файл
спецификации
RPM NAME_selinux.spec
Этот файл -
файл
СПЕЦИФИКАЦИИ,
который
можно
использовать
для
установки
политики SELinux
на
компьютеры
и
настройки
проставления
меток. Файл
спецификации
также
устанавливает
файл
интерфейсов
и
man-страницу
с
описанием
политики.
Для
создания
man-страницы
можно
использовать
команду sepolicy manpage
-d NAME.
Файл
оболочки NAME.sh
Это
вспомогательный
сценарий
оболочки
для
компиляции,
установки
и
исправления
меток в
тестовой
системе. Он
также
создаёт
man-страницу
на основе
установленной
политики,
компилирует
и собирает
RPM, который
подходит
для
установки
на других
компьютерах.
Если создание возможно, эта утилита выведет на экран все пути создания из исходного домена в целевой домен
ПАРАМЕТРЫ¶
- -h, --help
- Показать справочное сообщение
- -d, --domain
- Ввести тип домена, который будет расширен
- -n, --name
- Указать альтернативное имя политики. По умолчанию: указанный исполняемый файл или имя.
- -p, --path
- Указать каталог для сохранения созданных файлов политики. По умолчанию: текущий рабочий каталог. Необязательные аргументы:
- -r, --role
- Ввести роль (роли), в которую перейдёт этот администратор
- -t, --type
- Ввести тип (типы), для которого создаётся новое определение и правило (правила)
- -u, --user
- Пользователь (пользователи) SELinux, который перейдёт в этот домен
- -w, --writepath
- Путь (пути), который требуется для записи ограниченным процессам
- -a, --admin
- Домен (домены), который будет администрировать ограниченный администратор
- --admin_user
- Создать политику для роли авторизации администратора
- --application
- Создать политику для приложения пользователя
- --cgi
- Создать политику для веб-приложения/сценария (CGI)
- --confined_admin
- Создать политику для роли ограниченного администратора root
- --customize
- Создать политику для типа существующего домена
- --dbus
- Создать политику для системной внутренней службы DBUS
- --desktop_user
- Создать политику для роли авторизации на рабочем столе
- --inetd
- Создать политику для внутренней службы Интернет-служб
- --init
- Создать политику для стандартной внутренней службы init (по умолчанию)
- --newtype
- Создать политику для новых типов, которые будут добавлены в существующую политику.
- --sandbox
- Создать политику для изолированной среды
- --term_user
- Создать политику для минимальной роли авторизации пользователя терминала
- --x_user
- Создать политику для минимальной роли авторизации пользователя X Windows
ПРИМЕР¶
> sepolicy generate --init /usr/sbin/rwhod
Создание
политики
для /usr/sbin/rwhod с
именем rwhod
Созданы
следующие
файлы:
rwhod.te # файл
принудительного
присвоения
типов
rwhod.if # файл
интерфейсов
rwhod.fc # файл
контекстов
файлов
rwhod_selinux.spec # файл
спецификации
rwhod.sh # сценарий
настройки
СМОТРИТЕ ТАКЖЕ¶
АВТОРЫ¶
Эта man-страница была написана Daniel Walsh <dwalsh@redhat.com>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.
20121005 |