ИМЯ

sepolicy-generate - создать исходный шаблон модуля политики SELinux.
 

ОБЗОР

Общие параметры
 
sepolicy generate [-h ] [-p PATH]
 
 
 
Ограниченные приложения
 
 
sepolicy generate --application [-n NAME] [-u USER ]command [-w WRITE_PATH ]
 
sepolicy generate --cgi [-n NAME] command [-w WRITE_PATH ]
 
sepolicy generate --dbus [-n NAME] command [-w WRITE_PATH ]
 
sepolicy generate --inetd [-n NAME] command [-w WRITE_PATH ]
 
sepolicy generate --init [-n NAME] command [-w WRITE_PATH ]
 
Ограниченные пользователи
 
 
sepolicy generate --admin_user [-r TRANSITION_ROLE] -n NAME
 
sepolicy generate --confined_admin -n NAME [-a ADMIN_DOMAIN] [-u USER] [-n NAME] [-w WRITE_PATH]
 
sepolicy generate --desktop_user -n NAME [-w WRITE_PATH]
 
sepolicy generate --term_user -n NAME [-w WRITE_PATH]
 
sepolicy generate --x_user -n NAME [-w WRITE_PATH]
 
 
Разное
 
 
sepolicy generate --customize -d DOMAIN -n NAME [-a ADMIN_DOMAIN]
 
sepolicy generate --newtype -t type -n NAME
 
sepolicy generate --sandbox -n NAME
 

ОПИСАНИЕ

Используйте команду sepolicy generate для создания модуля политики SELinux.
 
 
sepolicy generate создаст 5 файлов.
 
При указании confined application необходимо указать путь. Команда sepolicy generate будет использовать полезную нагрузку rpm-пакета приложения вместе с nm -D APPLICATION, чтобы создать типы и правила политики для ваших файлов политики.
 
Файл принудительного назначения типов NAME.te
 
Этот файл можно использовать, чтобы определить для конкретного домена все правила типов.
 
Примечание: Политика, созданная с помощью команды sepolicy generate, автоматически добавит разрешительный домен (DOMAIN) в ваш файл .te. Когда вы закончите настройку политики, из файла .te будет необходимо удалить разрешительную строку, чтобы запустить домен в принудительном режиме.
 
Файл интерфейсов NAME.if
 
Этот файл определяет интерфейсы для созданных в файле .te типов, которые могут использоваться другими доменами политики.
 
Контексты файлов NAME.fc
 
Этот файл определяет контексты файлов по умолчанию для системы; он берёт типы файлов, созданные в файле .te, и связывает пути файлов с этими типами. Такие утилиты, как restorecon и RPM, будут использовать эти пути для проставления меток.
 
Файл спецификации RPM NAME_selinux.spec
 
Этот файл - файл СПЕЦИФИКАЦИИ, который можно использовать для установки политики SELinux на компьютеры и настройки проставления меток. Файл спецификации также устанавливает файл интерфейсов и man-страницу с описанием политики. Для создания man-страницы можно использовать команду sepolicy manpage -d NAME.
 
Файл оболочки NAME.sh
 
Это вспомогательный сценарий оболочки для компиляции, установки и исправления меток в тестовой системе. Он также создаёт man-страницу на основе установленной политики, компилирует и собирает RPM, который подходит для установки на других компьютерах.
 
Если создание возможно, эта утилита выведет на экран все пути создания из исходного домена в целевой домен
 

ПАРАМЕТРЫ

-h, --help
Показать справочное сообщение
-d, --domain
Ввести тип домена, который будет расширен
-n, --name
Указать альтернативное имя политики. По умолчанию: указанный исполняемый файл или имя.
-p, --path
Указать каталог для сохранения созданных файлов политики. По умолчанию: текущий рабочий каталог. Необязательные аргументы:
-r, --role
Ввести роль (роли), в которую перейдёт этот администратор
-t, --type
Ввести тип (типы), для которого создаётся новое определение и правило (правила)
-u, --user
Пользователь (пользователи) SELinux, который перейдёт в этот домен
-w, --writepath
Путь (пути), который требуется для записи ограниченным процессам
-a, --admin
Домен (домены), который будет администрировать ограниченный администратор
--admin_user
Создать политику для роли авторизации администратора
--application
Создать политику для приложения пользователя
--cgi
Создать политику для веб-приложения/сценария (CGI)
--confined_admin
Создать политику для роли ограниченного администратора root
--customize
Создать политику для типа существующего домена
--dbus
Создать политику для системной внутренней службы DBUS
--desktop_user
Создать политику для роли авторизации на рабочем столе
--inetd
Создать политику для внутренней службы Интернет-служб
--init
Создать политику для стандартной внутренней службы init (по умолчанию)
--newtype
Создать политику для новых типов, которые будут добавлены в существующую политику.
--sandbox
Создать политику для изолированной среды
--term_user
Создать политику для минимальной роли авторизации пользователя терминала
--x_user
Создать политику для минимальной роли авторизации пользователя X Windows

ПРИМЕР

> sepolicy generate --init /usr/sbin/rwhod
 
Создание политики для /usr/sbin/rwhod с именем rwhod
 
Созданы следующие файлы:
 
rwhod.te # файл принудительного присвоения типов
 
rwhod.if # файл интерфейсов
 
rwhod.fc # файл контекстов файлов
 
rwhod_selinux.spec # файл спецификации
 
rwhod.sh # сценарий настройки
 

СМОТРИТЕ ТАКЖЕ

sepolicy(8), selinux(8)
 

АВТОРЫ

Эта man-страница была написана Daniel Walsh <[email protected]>. Перевод на русский язык выполнила Герасименко Олеся <[email protected]>.

Recommended readings

Pages related to sepolgen you should read also:
selinux(8) sepolicy(8)

Questions & Answers

Helpful answers and articles about sepolgen you may found on these sites:
Stack Overflow Server Fault Super User Unix & Linux Ask Ubuntu Network Engineering DevOps Raspberry Pi Webmasters Google Search