selinux_config

 

1.

Состояние применения политики - enforcing (принудительный режим), permissive (разрешительный режим) или disabled (отключена).

2.

Имя политики или тип, формирующий путь к политике, которую следует загрузить, и её вспомогательным файлам конфигурации.

3.

Способ управления локальными пользователями и логическими переключателями после загрузки политики (обратите внимание, что эта возможность использовалась в предыдущих версиях SELinux, сейчас она устарела).

4.

Поведение поддерживающих SELinux приложений при отсутствии настроенных действительных пользователей SELinux.

5.

Следует ли повторно проставлять метки в системе.

 

 

 

 

 

 

SELINUX = enforcing | permissive | disabled SELINUXTYPE = policy_name REQUIRESEUSERS = 0 | 1 AUTORELABEL = 0 | 1

 

 

Эта запись может содержать одно из трёх значений: Значение записи можно узнать с помощью команды sestatus(8) или selinux_getenforcemode(3).

 

Запись policy_name используется для идентификации типа политики и становится именем каталога, в котором располагаются политика и её файлы конфигурации. Значение записи можно узнать с помощью команды sestatus(8) или selinux_getpolicytype(3). policy_name относится к пути, который определён внутри подсистемы SELinux и может быть получен с помощью selinux_path(3). Пример записи, полученной с помощью selinux_path(3): Затем к концу этой записи добавляется policy_name, и она становится корневым расположением политики, которое может быть получено с помощью selinux_policy_root_path(3). Пример полученной записи: Фактическая двоичная политика расположена относительно этого каталога и также имеет предварительно выделенное имя политики. Эту информацию можно получить с помощью selinux_binary_policy_path(3). Пример записи, полученной с помощью selinux_binary_policy_path(3): По соглашению к концу имени двоичной политики добавляется версия политики SELinux, которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно определить с помощью команды sestatus(8) или security_policyvers(3). Пример файла двоичной политики с версией:

 

Эта необязательная запись позволяет сделать попытку входа неудачной, если в файле seusers(5) нет соответствующей записи или записи по умолчанию или отсутствует сам файл seusers. Она проверяется функцией getseuserbyname(3), которая вызывается поддерживающими SELinux приложениями для входа, например, PAM(8). Если задано значение 0 или отсутствует запись: Если задано значение 1: Описание работы getseuserbyname(3) содержится на соответствующей man-странице. Формат файла seusers показан в seusers(5).

 

Эта необязательная запись позволяет повторно проставлять метки в файловой системе. Если задано значение 0 и в корневом каталоге имеется файл с именем .autorelabel, при перезагрузке загрузчик перейдёт в оболочку, запрашивающую вход в качестве пользователя root. Затем администратор сможет вручную проставить метки в файловой системе. Если задано значение 1 или запись отсутствует (состояние по умолчанию) и в корневом каталоге имеется файл .autorelabel, в файловой системе с помощью fixfiles -F restore будут автоматически повторно проставлены метки. В обоих случаях файл /.autorelabel будет удалён, чтобы предотвратить последующее повторное проставление меток.

 

 

 

SELINUX = enforcing SELINUXTYPE = targeted