sepolicy-generate

Section: (8)
Updated: 20121005
Page Index

ИМЯ

sepolicy-generate - создать исходный шаблон модуля политики SELinux.

ОБЗОР

Общие параметры

sepolicy generate [-h ] [-p PATH]

Ограниченные приложения

sepolicy generate --application [-n NAME] [-u USER ]command [-w WRITE_PATH ]
sepolicy generate --cgi [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --dbus [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --inetd [-n NAME] command [-w WRITE_PATH ]
sepolicy generate --init [-n NAME] command [-w WRITE_PATH ]

Ограниченные пользователи

sepolicy generate --admin_user [-r TRANSITION_ROLE] -n NAME
sepolicy generate --confined_admin -n NAME [-a ADMIN_DOMAIN] [-u USER] [-n NAME] [-w WRITE_PATH]
sepolicy generate --desktop_user -n NAME [-w WRITE_PATH]
sepolicy generate --term_user -n NAME [-w WRITE_PATH]
sepolicy generate --x_user -n NAME [-w WRITE_PATH]

Разное

sepolicy generate --customize -d DOMAIN -n NAME [-a ADMIN_DOMAIN]
sepolicy generate --newtype -t type -n NAME
sepolicy generate --sandbox -n NAME

ОПИСАНИЕ

Используйте команду sepolicy generate для создания модуля политики SELinux.

sepolicy generate создаст 5 файлов.

При указании confined application необходимо указать путь. Команда sepolicy generate будет использовать полезную нагрузку rpm-пакета приложения вместе с nm -D APPLICATION, чтобы создать типы и правила политики для ваших файлов политики.

Файл принудительного назначения типов NAME.te
Этот файл можно использовать, чтобы определить для конкретного домена все правила типов.

Примечание: Политика, созданная с помощью команды sepolicy generate, автоматически добавит разрешительный домен (DOMAIN) в ваш файл .te. Когда вы закончите настройку политики, из файла .te будет необходимо удалить разрешительную строку, чтобы запустить домен в принудительном режиме.

Файл интерфейсов NAME.if
Этот файл определяет интерфейсы для созданных в файле .te типов, которые могут использоваться другими доменами политики.

Контексты файлов NAME.fc
Этот файл определяет контексты файлов по умолчанию для системы; он берёт типы файлов, созданные в файле .te, и связывает пути файлов с этими типами. Такие утилиты, как restorecon и RPM, будут использовать эти пути для проставления меток.

Файл спецификации RPM NAME_selinux.spec
Этот файл - файл СПЕЦИФИКАЦИИ, который можно использовать для установки политики SELinux на компьютеры и настройки проставления меток. Файл спецификации также устанавливает файл интерфейсов и man-страницу с описанием политики. Для создания man-страницы можно использовать команду sepolicy manpage -d NAME.

Файл оболочки NAME.sh
Это вспомогательный сценарий оболочки для компиляции, установки и исправления меток в тестовой системе. Он также создаёт man-страницу на основе установленной политики, компилирует и собирает RPM, который подходит для установки на других компьютерах.

Если создание возможно, эта утилита выведет на экран все пути создания из исходного домена в целевой домен

ПАРАМЕТРЫ

-h, --help: Показать справочное сообщение
-d, --domain: Ввести тип домена, который будет расширен
-n, --name: Указать альтернативное имя политики. По умолчанию: указанный исполняемый файл или имя.
-p, --path: Указать каталог для сохранения созданных файлов политики. По умолчанию: текущий рабочий каталог. Необязательные аргументы:
-r, --role: Ввести роль (роли), в которую перейдёт этот администратор
-t, --type: Ввести тип (типы), для которого создаётся новое определение и правило (правила)
-u, --user: Пользователь (пользователи) SELinux, который перейдёт в этот домен
-w, --writepath: Путь (пути), который требуется для записи ограниченным процессам
-a, --admin: Домен (домены), который будет администрировать ограниченный администратор
--admin_user: Создать политику для роли авторизации администратора
--application: Создать политику для приложения пользователя
--cgi: Создать политику для веб-приложения/сценария (CGI)
--confined_admin: Создать политику для роли ограниченного администратора root
--customize: Создать политику для типа существующего домена
--dbus: Создать политику для системной внутренней службы DBUS
--desktop_user: Создать политику для роли авторизации на рабочем столе
--inetd: Создать политику для внутренней службы Интернет-служб
--init: Создать политику для стандартной внутренней службы init (по умолчанию)
--newtype: Создать политику для новых типов, которые будут добавлены в существующую политику.
--sandbox: Создать политику для изолированной среды
--term_user: Создать политику для минимальной роли авторизации пользователя терминала
--x_user: Создать политику для минимальной роли авторизации пользователя X Windows

ПРИМЕР

> sepolicy generate --init /usr/sbin/rwhod
Создание политики для /usr/sbin/rwhod с именем rwhod
Созданы следующие файлы:
rwhod.te # файл принудительного присвоения типов
rwhod.if # файл интерфейсов
rwhod.fc # файл контекстов файлов
rwhod_selinux.spec # файл спецификации
rwhod.sh # сценарий настройки

СМОТРИТЕ ТАКЖЕ

sepolicy(8), selinux(8)

АВТОРЫ

Эта man-страница была написана Daniel Walsh <dwalsh@redhat.com>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.