Google Git
Sign in
android / platform / external / selinux / 0db1ceb25e2795a469de4d73881a572520e1947f / . / python / sepolicy / ru / sepolicy-generate.8
blob: d2e98861881a6c6dfe433ee284d36de10fb87545 [file] [log] [blame]
.TH "sepolicy-generate" "8" "20121005" "" ""
.SH "ИМЯ"
sepolicy-generate \- создать исходный шаблон модуля политики SELinux.
.SH "ОБЗОР"
Общие параметры
.B sepolicy generate [\-h ] [\-p PATH]
.br
Ограниченные приложения
.br
.B sepolicy generate \-\-application [\-n NAME] [\-u USER ]command [\-w WRITE_PATH ]
.br
.B sepolicy generate \-\-cgi [\-n NAME] command [\-w WRITE_PATH ]
.br
.B sepolicy generate \-\-dbus [\-n NAME] command [\-w WRITE_PATH ]
.br
.B sepolicy generate \-\-inetd [\-n NAME] command [\-w WRITE_PATH ]
.br
.B sepolicy generate \-\-init [\-n NAME] command [\-w WRITE_PATH ]
Ограниченные пользователи
.br
.B sepolicy generate \-\-admin_user [\-r TRANSITION_ROLE] \-n NAME
.br
.B sepolicy generate \-\-confined_admin \-n NAME [\-a ADMIN_DOMAIN] [\-u USER] [\-n NAME] [\-w WRITE_PATH]
.br
.B sepolicy generate \-\-desktop_user \-n NAME [\-w WRITE_PATH]
.br
.B sepolicy generate \-\-term_user \-n NAME [\-w WRITE_PATH]
.br
.B sepolicy generate \-\-x_user \-n NAME [\-w WRITE_PATH]
.br
Разное
.br
.B sepolicy generate \-\-customize \-d DOMAIN \-n NAME [\-a ADMIN_DOMAIN]
.br
.B sepolicy generate \-\-newtype \-t type \-n NAME
.br
.B sepolicy generate \-\-sandbox \-n NAME
.SH "ОПИСАНИЕ"
Используйте команду \fBsepolicy generate\fP для создания модуля политики SELinux.
.br
\fBsepolicy generate\fP создаст 5 файлов.
При указании \fBconfined application\fP необходимо указать путь. Команда \fBsepolicy generate\fP будет использовать полезную нагрузку rpm-пакета приложения вместе с \fBnm \-D APPLICATION\fP, чтобы создать типы и правила политики для ваших файлов политики.
.B Файл принудительного назначения типов NAME.te
.br
Этот файл можно использовать, чтобы определить для конкретного домена все правила типов.
.I Примечание:
Политика, созданная с помощью команды \fBsepolicy generate\fP, автоматически добавит разрешительный домен (DOMAIN) в ваш файл .te. Когда вы закончите настройку политики, из файла .te будет необходимо удалить разрешительную строку, чтобы запустить домен в принудительном режиме.
.B Файл интерфейсов NAME.if
.br
Этот файл определяет интерфейсы для созданных в файле .te типов, которые могут использоваться другими доменами политики.
.B Контексты файлов NAME.fc
.br
Этот файл определяет контексты файлов по умолчанию для системы; он берёт типы файлов, созданные в файле .te, и связывает пути файлов с этими типами. Такие утилиты, как restorecon и RPM, будут использовать эти пути для проставления меток.
.B Файл спецификации RPM NAME_selinux.spec
.br
Этот файл - файл СПЕЦИФИКАЦИИ, который можно использовать для установки политики SELinux на компьютеры и настройки проставления меток. Файл спецификации также устанавливает файл интерфейсов и man-страницу с описанием политики. Для создания man-страницы можно использовать команду \fBsepolicy manpage \-d NAME\fP.
.B Файл оболочки NAME.sh
.br
Это вспомогательный сценарий оболочки для компиляции, установки и исправления меток в тестовой системе. Он также создаёт man-страницу на основе установленной политики, компилирует и собирает RPM, который подходит для установки на других компьютерах.
Если создание возможно, эта утилита выведет на экран все пути создания из исходного домена в целевой домен
.SH "ПАРАМЕТРЫ"
.TP
.I \-h, \-\-help
Показать справочное сообщение
.TP
.I \-d, \-\-domain
Ввести тип домена, который будет расширен
.TP
.I \-n, \-\-name
Указать альтернативное имя политики. По умолчанию: указанный исполняемый файл или имя.
.TP
.I \-p, \-\-path
Указать каталог для сохранения созданных файлов политики. По умолчанию: текущий рабочий каталог.
Необязательные аргументы:
.TP
.I \-r, \-\-role
Ввести роль (роли), в которую перейдёт этот администратор
.TP
.I \-t, \-\-type
Ввести тип (типы), для которого создаётся новое определение и правило (правила)
.TP
.I \-u, \-\-user
Пользователь (пользователи) SELinux, который перейдёт в этот домен
.TP
.I \-w, \-\-writepath
Путь (пути), который требуется для записи ограниченным процессам
.TP
.I \-a, \-\-admin
Домен (домены), который будет администрировать ограниченный администратор
.TP
.I \-\-admin_user
Создать политику для роли авторизации администратора
.TP
.I \-\-application
Создать политику для приложения пользователя
.TP
.I \-\-cgi
Создать политику для веб-приложения/сценария (CGI)
.TP
.I \-\-confined_admin
Создать политику для роли ограниченного администратора root
.TP
.I \-\-customize
Создать политику для типа существующего домена
.TP
.I \-\-dbus
Создать политику для системной внутренней службы DBUS
.TP
.I \-\-desktop_user
Создать политику для роли авторизации на рабочем столе
.TP
.I \-\-inetd
Создать политику для внутренней службы Интернет-служб
.TP
.I \-\-init
Создать политику для стандартной внутренней службы init (по умолчанию)
.TP
.I \-\-newtype
Создать политику для новых типов, которые будут добавлены в существующую политику.
.TP
.I \-\-sandbox
Создать политику для изолированной среды
.TP
.I \-\-term_user
Создать политику для минимальной роли авторизации пользователя терминала
.TP
.I \-\-x_user
Создать политику для минимальной роли авторизации пользователя X Windows
.SH "ПРИМЕР"
.B > sepolicy generate --init /usr/sbin/rwhod
.br
Создание политики для /usr/sbin/rwhod с именем rwhod
.br
Созданы следующие файлы:
.br
rwhod.te # файл принудительного присвоения типов
.br
rwhod.if # файл интерфейсов
.br
rwhod.fc # файл контекстов файлов
.br
rwhod_selinux.spec # файл спецификации
.br
rwhod.sh # сценарий настройки
.SH "СМОТРИТЕ ТАКЖЕ"
sepolicy(8), selinux(8)
.SH "АВТОРЫ"
Эта man-страница была написана Daniel Walsh <dwalsh@redhat.com>.
Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.