[Chcete vyzkoušet Red Hat Enterprise Linux? Stáhněte si jej nyní zdarma.]
Existuje mnoho vynikajících manuálových stránek pro omezené domény, které jsou součástí zásad SELinux. Tyto manuálové stránky popisují booleovské a kontextové typy pro každou doménu. Zahrnují také ukázku semanage
příkazy pro přidávání kontextových mapování, změnu logických hodnot a další.
Bohužel pro správce systému, který začíná s konfigurací SELinuxu, tyto manuálové stránky často nejsou standardně nainstalovány. Manuálové stránky zásad SELinux jsou dostupné ze dvou míst. Upstream Reference Policy repo má několik předpřipravených manuálových stránek. Zbytek lze vygenerovat z obsahu zásad pomocí nástroje, který najdete v policycoreutils-devel
balíček.
Instalace z distribučního balíčku
Některé distribuce předgenerují manuálové stránky a zabalí je, aby bylo možné dokumentaci snadno přidat do vašeho systému. Fedora, CentOS a Red Hat Enterprise Linux 8 všechny obsahují selinux-policy-doc.noarch
balíček ve svých základních úložištích. Tento balíček není standardně nainstalován, ale lze jej snadno přidat pomocí yum
nebo dnf
příkaz:
$ sudo yum install selinux-policy-doc.noarch
Red Hat Enterprise Linux 7 má tento balíček také, ale je ve "Volitelném" repo, které není ve výchozím nastavení povoleno. Buď povolte repo trvale pomocí subscription-manager
:
$ sudo subscription-manager repo --enable=rhel-7-server-optional-rpms
nebo jen dočasně přidejte úložiště během instalace:
$ sudo yum --enablerepo=rhel-7-server-optional-rpms install selinux-policy-doc.noarch
Nyní, když je k dispozici dokumentace domény SELinux, vyhledejte příslušné stránky pomocí:
$ man -k _selinux
Poznámka: Po instalaci balíku docs budete možná muset také aktualizovat mezipaměť indexu manuálových stránek, než uvidíte výsledky vyhledávání:
$ sudo mandb
Generovat manuálové stránky ze zásad
Pokud balíček docs není k dispozici nebo pokud chcete vygenerovat pouze manuálovou stránku pro určitou doménu, můžete manuálové stránky sestavit také z této politiky. Nejprve nainstalujte devel
balíčky a jejich závislosti:
$ sudo yum install policycoreutils-devel
Poté použijte sepolicy
příkaz ke generování konkrétní manuálové stránky zadáním typu domény (typ kontextu SELinux spojený s běžícím procesem, který je obsažen). Například:
$ sepolicy manpage -d httpd_t
Výsledná manuálová stránka bude vygenerována v /tmp
adresář a lze jej zobrazit podle názvu:
$ man /tmp/httpd_selinux.8
Existují možnosti pro sepolicy manpage
příkaz k přepsání výstupního umístění (--path
), vygenerujte verzi html (--web
), nebo vygenerujte všechny (--all
) stránky. Chcete-li zobrazit tyto a další možnosti, použijte:
$ man sepolicy-manpage
Pokud má uživatel oprávnění k zápisu do výstupní cesty, může generovat a prohlížet manuálovou stránku.
Náhled kouzla těchto manuálových stránek
Manuálové stránky SELinuxu pro typy domén mají všechny společné rozvržení. Stejně jako u každé sady manuálových stránek platí, že čím více manuálových stránek přečtete, tím snazší je skenování nebo rychlejší čtení další.
Každá manuálová stránka začíná očekávanými poli NAME a DESCRIPTION jakékoli manuálové stránky. Manuálové stránky domény SELinux pak obsahují sekce VSTUPNÍ BODY a TYPY PROCESŮ. (Vstupní body jsou typy přiřazené ke spustitelným souborům, které při spuštění jako démoni přecházejí na omezené typy procesů.)
Ne všechny typy procesů jsou však démony, některé mohou být interaktivní spustitelné soubory. Například sshd_exec_t
je vstupní bod, který přechází do sshd_t
typ procesu. Kromě toho sshd_t
, ssh_t
a ssh_keygen_t
a jsou také příklady typů procesů.
Typy procesů jsou také známé jako typy domén a jsou to typy, které lze přepnout do permisivního režimu pomocí semanage
příkaz.
Za všemi sekcemi vstupních bodů a typů procesů má manuálová stránka domény SELinux sekce pro všechny BOOLEANS, PORT TYPES, MANAGED FILES a FILE CONTEXTY, které se vztahují na danou doménu. Tyto sekce definují klíčová slova a poskytují ukázky úprav, které lze provést pomocí semanage
příkaz. Povolení booleanu umožňuje odlišnou sadu pravidel pro různé případy použití. Úpravy kontextu souboru a portu umožňují nakonfigurovat systém tak, aby uchovával data v jiném než výchozím umístění nebo běžel na jiném než výchozím portu.
Každá manuálová stránka končí seznamem PŘÍKAZŮ, na které odkazuje manuálová stránka a tradiční manuálová stránka AUTHOR a VIZ TAKÉ.
Začněte prozkoumávat
S targeted
zásadu httpd
stránka domény je pravděpodobně nejdelší, protože tato doména má nejvíce booleovských hodnot a typů souborů k popisu. Byla to také jedna z prvních omezených domén v historii targeted
SELinuxu zásady.
Začněte s doménou, která je vám známá, jako je sshd
, httpd
nebo ntpd
. Poté vyhledejte domény, které jsou relevantní pro vaše prostředí. Po instalaci selinux-docs
V mém systému mám k prozkoumání přes 850 manuálových stránek!
A pamatujte, udržujte SELinux v prosazování! (Zde je návod.)