policycoreutils/setfiles/ru/setfiles.8 - platform/external/selinux - Git at Google

 .TH "setfiles" "8" "10 июня 2016" "" "Команда пользователя SELinux"
 .SH "ИМЯ"
 setfiles \- установить SELinux-контексты безопасности файлов.

 .SH "ОБЗОР"
 .B setfiles
 .RB [ \-c
 .IR policy ]
 .RB [ \-d ]
 .RB [ \-l ]
 .RB [ \-m ]
 .RB [ \-n ]
 .RB [ \-e
 .IR directory ]
 .RB [ \-p ]
 .RB [ \-s ]
 .RB [ \-v ]
 .RB [ \-W ]
 .RB [ \-F ]
 .RB [ \-I | \-D ]
 .I spec_file
 .IR pathname \ ...

 .SH "ОПИСАНИЕ"
 На этой странице руководства приводится описание программы
 .BR setfiles.
 .P
 Эта программа используется в основном для инициализации полей контекста безопасности (расширенных атрибутов) в одной или нескольких файловых системах (или их частях). Обычно она впервые запускается как часть процесса установки SELinux (этап, который называется проставлением меток).
 .P
 Также можно запустить её в любой другой момент, чтобы исправить некорректные метки, добавить поддержку для недавно установленной политики или, используя параметр
 .B \-n
 , пассивно проверить, соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию) или в какой-либо другой политике (см. параметр
 .B \-c
 ).
 .P
 Если объект файла не имеет контекста,
 .B setfiles
 запишет контекст по умолчанию в расширенные атрибуты объекта файла. Если объект файла имеет контекст,
 .B setfiles
 изменит только ту часть контекста безопасности, которая относится к типу.
 Параметр
 .B \-F
 позволяет принудительно заменить контекст целиком.
 .SH "ПАРАМЕТРЫ"
 .TP
 .B \-c
 проверить действительность контекстов относительно указанной двоичной политики.
 .TP
 .B \-d
 показать, какая спецификация соответствует каждому из файлов.
 .TP
 .BI \-e \ directory
 исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать соответствующее количество раз).
 .TP
 .BI \-f \ infilename
 .I infilename
 содержит список файлов для обработки. Используйте
 .RB \*(lq \- \*(rq
 для
 .BR stdin .
 .TP
 .B \-F
 принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а также тип).
 .TP
 .B \-h, \-?
 показать сведения об использовании и выйти.
 .TP
 .B \-i
 игнорировать файлы, которые не существуют.
 .TP
 .B \-I
 игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе
 .B ПРИМЕЧАНИЯ.
 .TP
 .B \-D
 установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута
 .IR security.restorecon_last.
 .TP
 .B \-l
 записывать изменения меток файлов в системный журнал.
 .TP
 .B \-m
 не выполнять чтение
 .B /proc/mounts
 для получения списка монтирований без seclabel, которые следует исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге смонтирована файловая система с seclabel.
 .TP
 .B \-n
 не изменять метки файлов (пассивная проверка).
 .TP
 .BI \-o \ outfilename
 этот параметр устарел и больше не поддерживается.
 .TP
 .B \-p
 показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите внимание, что параметры
 .B \-p
 и
 .B \-v
 являются взаимоисключающими.
 .TP
 .B \-q
 этот параметр устарел, ранее использовался для прекращения вывода параметров ассоциаций индексных дескрипторов (inode).
 .TP
 .BI \-r \ rootpath
 использовать альтернативный корневой путь. Используется в meta-selinux для сборок OpenEmbedded/Yocto, чтобы проставить метки для файлов в каталоге
 .I rootpath
 таким образом, как если бы они были в
 .B /
 .TP
 .B \-s
 взять список файлов из стандартного ввода, а не использовать путь из командной строки (эквивалентно
 .RB \*(lq "\-f \-" \*(rq
 ).
 .TP
 .B \-v
 показать изменения меток для файлов и вывести параметры ассоциаций индексных дескрипторов (inode).
 Обратите внимание, что параметры
 .B \-v
 и
 .B \-p
 являются взаимоисключающими.
 .TP
 .B \-W
 показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью вывода результатов
 .BR selabel_stats (3).
 .TP
 .B \-0
 предполагается, что разделителем для элементов ввода является символ нуля
 (вместо пробела). Символы кавычек и обратной косой черты также считаются обычными символами, которые могут формировать допустимый ввод.
 Этот параметр также отключает строку конца файла (end-of-file string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или обратные косые черты. Параметр
 .B -print0
 GNU
 .B find
 производит ввод, подходящий для этого режима.

 .SH "АРГУМЕНТЫ"
 .TP
 .I spec_file
 Файл спецификации, содержащий строки следующего вида:
 .sp
 .RS
 .I regexp
 .RI [ type ]
 .IR context \ |
 .B <<none>>
 .RS
 Регулярное выражение привязывается с обоих концов. Необязательное поле
 .I type
 указывает тип файла (показывается в поле режима по команде
 .BR ls (1)
 ), например,
 .B \-\-
 для соответствия только обычным файлам или
 .B \-d
 для соответствия только каталогам.
 .I context
 может быть обычным контекстом безопасности или строкой
 .B <<none>>
 (чтобы указать, что контекст файла не следует изменять).
 .br
 Используется последняя соответствующая спецификация. Если на файл имеется несколько жёстких ссылок, которые соответствуют разным спецификациям, и эти спецификации означают разные контексты безопасности, будет показано предупреждение, но для файла всё равно будет проставлена метка на основе последней соответствующей спецификации, отличной от
 .BR <<none>> \|.
 .RE
 .RE
 .TP
 .IR pathname \ ...
 Путь к корневому каталогу каждой файловой системы, в которой следует повторно проставить метки, или конкретный каталог в файловой системе, по которому следует рекурсивно спуститься и повторно проставить метки, или путь к файлу, для которого следует повторно проставить метку.
 Не используется, если используется параметр
 .B \-f
 или
 .B \-s .

 .SH "ПРИМЕЧАНИЯ"
 .IP "1." 4
 .B setfiles
 следует по символическим ссылкам и рекурсивно применяется к каталогам.
 .IP "2." 4
 Если в
 .I pathname
 указан корневой каталог, установлен параметр
 .B \-v
 , а также запущена система аудита, в журнал с меткой сообщения
 .BR FS_RELABEL
 автоматически записывается событие аудита, которое содержит сообщение о том, что произошло "массовое повторное проставление меток".
 .IP "3." 4
 Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах используется параметр
 .B \-D
 команды
 .B setfiles .
 Он обеспечивает сохранение дайджеста SHA1 файла спецификации
 .B spec_file
 в расширенном атрибуте с именем
 .IR security.restorecon_last
 для каталога, указанного в соответствующем пути
 .IR pathname \ ...
 , после успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда
 .B setfiles
 .B \-D
 будет перезапущена с теми же параметрами
 .I spec_file
 и
 .I pathname
 Подробные сведения доступны в
 .BR selinux_restorecon (3).
 .sp
 Параметр
 .B \-I
 позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в
 .IR pathname \ ...
 , и, при условии, что НЕ установлен параметр
 .B \-n
 , для файлов будут необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).

 .SH "СМОТРИТЕ ТАКЖЕ"
 .BR restorecon (8),
 .BR load_policy (8),
 .BR checkpolicy (8)

 .SH "АВТОРЫ"
 Эта man-страница была написана Russell Coker <russell@coker.com.au>.
 Программа была написана Stephen Smalley <sds@tycho.nsa.gov>.
 Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>
	.TH "setfiles" "8" "10 июня 2016" "" "Команда пользователя SELinux"
	.SH "ИМЯ"
	setfiles \- установить SELinux-контексты безопасности файлов.

	.SH "ОБЗОР"
	.B setfiles
	.RB [ \-c
	.IR policy ]
	.RB [ \-d ]
	.RB [ \-l ]
	.RB [ \-m ]
	.RB [ \-n ]
	.RB [ \-e
	.IR directory ]
	.RB [ \-p ]
	.RB [ \-s ]
	.RB [ \-v ]
	.RB [ \-W ]
	.RB [ \-F ]
	.RB [ \-I \| \-D ]
	.I spec_file
	.IR pathname \ ...

	.SH "ОПИСАНИЕ"
	На этой странице руководства приводится описание программы
	.BR setfiles.
	.P
	Эта программа используется в основном для инициализации полей контекста безопасности (расширенных атрибутов) в одной или нескольких файловых системах (или их частях). Обычно она впервые запускается как часть процесса установки SELinux (этап, который называется проставлением меток).
	.P
	Также можно запустить её в любой другой момент, чтобы исправить некорректные метки, добавить поддержку для недавно установленной политики или, используя параметр
	.B \-n
	, пассивно проверить, соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию) или в какой-либо другой политике (см. параметр
	.B \-c
	).
	.P
	Если объект файла не имеет контекста,
	.B setfiles
	запишет контекст по умолчанию в расширенные атрибуты объекта файла. Если объект файла имеет контекст,
	.B setfiles
	изменит только ту часть контекста безопасности, которая относится к типу.
	Параметр
	.B \-F
	позволяет принудительно заменить контекст целиком.
	.SH "ПАРАМЕТРЫ"
	.TP
	.B \-c
	проверить действительность контекстов относительно указанной двоичной политики.
	.TP
	.B \-d
	показать, какая спецификация соответствует каждому из файлов.
	.TP
	.BI \-e \ directory
	исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать соответствующее количество раз).
	.TP
	.BI \-f \ infilename
	.I infilename
	содержит список файлов для обработки. Используйте
	.RB \(lq \- \(rq
	для
	.BR stdin .
	.TP
	.B \-F
	принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а также тип).
	.TP
	.B \-h, \-?
	показать сведения об использовании и выйти.
	.TP
	.B \-i
	игнорировать файлы, которые не существуют.
	.TP
	.B \-I
	игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе
	.B ПРИМЕЧАНИЯ.
	.TP
	.B \-D
	установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута
	.IR security.restorecon_last.
	.TP
	.B \-l
	записывать изменения меток файлов в системный журнал.
	.TP
	.B \-m
	не выполнять чтение
	.B /proc/mounts
	для получения списка монтирований без seclabel, которые следует исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге смонтирована файловая система с seclabel.
	.TP
	.B \-n
	не изменять метки файлов (пассивная проверка).
	.TP
	.BI \-o \ outfilename
	этот параметр устарел и больше не поддерживается.
	.TP
	.B \-p
	показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите внимание, что параметры
	.B \-p
	и
	.B \-v
	являются взаимоисключающими.
	.TP
	.B \-q
	этот параметр устарел, ранее использовался для прекращения вывода параметров ассоциаций индексных дескрипторов (inode).
	.TP
	.BI \-r \ rootpath
	использовать альтернативный корневой путь. Используется в meta-selinux для сборок OpenEmbedded/Yocto, чтобы проставить метки для файлов в каталоге
	.I rootpath
	таким образом, как если бы они были в
	.B /
	.TP
	.B \-s
	взять список файлов из стандартного ввода, а не использовать путь из командной строки (эквивалентно
	.RB \(lq "\-f \-" \(rq
	).
	.TP
	.B \-v
	показать изменения меток для файлов и вывести параметры ассоциаций индексных дескрипторов (inode).
	Обратите внимание, что параметры
	.B \-v
	и
	.B \-p
	являются взаимоисключающими.
	.TP
	.B \-W
	показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью вывода результатов
	.BR selabel_stats (3).
	.TP
	.B \-0
	предполагается, что разделителем для элементов ввода является символ нуля
	(вместо пробела). Символы кавычек и обратной косой черты также считаются обычными символами, которые могут формировать допустимый ввод.
	Этот параметр также отключает строку конца файла (end-of-file string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или обратные косые черты. Параметр
	.B -print0
	GNU
	.B find
	производит ввод, подходящий для этого режима.

	.SH "АРГУМЕНТЫ"
	.TP
	.I spec_file
	Файл спецификации, содержащий строки следующего вида:
	.sp
	.RS
	.I regexp
	.RI [ type ]
	.IR context \ \|
	.B <<none>>
	.RS
	Регулярное выражение привязывается с обоих концов. Необязательное поле
	.I type
	указывает тип файла (показывается в поле режима по команде
	.BR ls (1)
	), например,
	.B \-\-
	для соответствия только обычным файлам или
	.B \-d
	для соответствия только каталогам.
	.I context
	может быть обычным контекстом безопасности или строкой
	.B <<none>>
	(чтобы указать, что контекст файла не следует изменять).
	.br
	Используется последняя соответствующая спецификация. Если на файл имеется несколько жёстких ссылок, которые соответствуют разным спецификациям, и эти спецификации означают разные контексты безопасности, будет показано предупреждение, но для файла всё равно будет проставлена метка на основе последней соответствующей спецификации, отличной от
	.BR <<none>> \\|.
	.RE
	.RE
	.TP
	.IR pathname \ ...
	Путь к корневому каталогу каждой файловой системы, в которой следует повторно проставить метки, или конкретный каталог в файловой системе, по которому следует рекурсивно спуститься и повторно проставить метки, или путь к файлу, для которого следует повторно проставить метку.
	Не используется, если используется параметр
	.B \-f
	или
	.B \-s .

	.SH "ПРИМЕЧАНИЯ"
	.IP "1." 4
	.B setfiles
	следует по символическим ссылкам и рекурсивно применяется к каталогам.
	.IP "2." 4
	Если в
	.I pathname
	указан корневой каталог, установлен параметр
	.B \-v
	, а также запущена система аудита, в журнал с меткой сообщения
	.BR FS_RELABEL
	автоматически записывается событие аудита, которое содержит сообщение о том, что произошло "массовое повторное проставление меток".
	.IP "3." 4
	Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах используется параметр
	.B \-D
	команды
	.B setfiles .
	Он обеспечивает сохранение дайджеста SHA1 файла спецификации
	.B spec_file
	в расширенном атрибуте с именем
	.IR security.restorecon_last
	для каталога, указанного в соответствующем пути
	.IR pathname \ ...
	, после успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда
	.B setfiles
	.B \-D
	будет перезапущена с теми же параметрами
	.I spec_file
	и
	.I pathname
	Подробные сведения доступны в
	.BR selinux_restorecon (3).
	.sp
	Параметр
	.B \-I
	позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в
	.IR pathname \ ...
	, и, при условии, что НЕ установлен параметр
	.B \-n
	, для файлов будут необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).

	.SH "СМОТРИТЕ ТАКЖЕ"
	.BR restorecon (8),
	.BR load_policy (8),
	.BR checkpolicy (8)

	.SH "АВТОРЫ"
	Эта man-страница была написана Russell Coker <russell@coker.com.au>.
	Программа была написана Stephen Smalley <sds@tycho.nsa.gov>.
	Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>