| .\" Hey Emacs! This file is -*- nroff -*- source. |
| .\" |
| .\" Author: Eamon Walsh (ewalsh@tycho.nsa.gov) 2007 |
| .TH "selabel_x" "5" "29 ноября 2011" "Security Enhanced Linux" "Документация API SELinux" |
| .SH "ИМЯ" |
| selabel_x \- интерфейс проставления меток SELinux в пространстве пользователя и формат файла конфигурации для внутренней службы контекстов оконной системы X Window System. Эта внутренняя служба также используется для определения контекста по умолчанию, который следует присвоить подключённым удалённо клиентам X |
| . |
| .SH "ОБЗОР" |
| .B #include <selinux/label.h> |
| .sp |
| .BI "int selabel_lookup(struct selabel_handle *" hnd , |
| .in +\w'int selabel_lookup('u |
| .BI "char **" context , |
| .br |
| .BI "const char *" object_name ", int " object_type ");" |
| .in |
| .sp |
| .BI "int selabel_lookup_raw(struct selabel_handle *" hnd , |
| .in +\w'int selabel_lookup('u |
| .BI "char **" context , |
| .br |
| .BI "const char *" object_name ", int " object_type ");" |
| . |
| .SH "ОПИСАНИЕ" |
| Внутренняя служба контекстов X сопоставляет имена объектов X Window System с контекстами безопасности. Это действие служит для нахождения правильного контекста для объектов X Window System, значимость и/или семантика использования которых в основном определяются именем. Необходимо освободить возвращённый \fIcontext\fR с помощью \fBfreecon\fR(3). |
| .br |
| \fBselabel_lookup\fR(3) описывает функцию с её возвращаемыми значениями и кодами ошибок. |
| .sp |
| Эта внутренняя служба также используется для определения контекста по умолчанию, который следует назначить для подключённых удалённо клиентов X. |
| .sp |
| Для аргумента \fIobject_type\fR необходимо установить одно из следующих значений: |
| .RS |
| .TP |
| .B SELABEL_X_PROP |
| Аргумент |
| .I object_name |
| указывает имя свойства окна, например, "WM_NAME". |
| .TP |
| .B SELABEL_X_SELN |
| Аргумент |
| .I object_name |
| указывает имя выделения, например, "PRIMARY". |
| .TP |
| .B SELABEL_X_EXT |
| Аргумент |
| .I object_name |
| указывает имя расширения протокола, например, "RENDER". |
| .TP |
| .B SELABEL_X_EVENT |
| Аргумент |
| .I object_name |
| указывает имя типа события, например, "X11:ButtonPress". |
| .TP |
| .B SELABEL_X_CLIENT |
| Аргумент |
| .I object_name |
| игнорируется, но его значением необходимо установить либо \fI*\fR (звёздочка, 'подстановочный знак': будет выбрана запись по умолчанию), либо конкретную запись, такую как "remote" в файле контекстов X, как показано в разделе \fBПРИМЕР\fR. В этом случае будет возвращён контекст по умолчанию, который следует присвоить удалённым клиентам X. |
| .TP |
| .B SELABEL_X_POLYPROP |
| Работает аналогично |
| .BR SELABEL_X_PROP , |
| но проверяет, было ли свойство отмечено как многоэкземплярное. См. \fBПРИМЕЧАНИЯ\fR далее. |
| .TP |
| .B SELABEL_X_POLYSELN |
| Аналогично |
| .BR SELABEL_X_SELN , |
| но проверяет, было ли выделение отмечено как многоэкземплярное. См. \fBПРИМЕЧАНИЯ\fR далее. |
| .RE |
| .sp |
| Все сообщения, созданные \fBselabel_lookup\fR(3), по умолчанию отправляются в \fIstderr\fR. Это поведение можно изменить с помощью \fBselinux_set_callback\fR(3). |
| .sp |
| .B selabel_lookup_raw |
| работает аналогично \fBselabel_lookup\fR, но не выполняет преобразование контекста. |
| .sp |
| В разделе \fBФАЙЛЫ\fR приводится описание файлов конфигурации, которые используются для определения контекстов объектов Х. |
| . |
| .SH "ПАРАМЕТРЫ" |
| Помимо глобальных параметров, описание которых приведено в \fBselabel_open\fR(3), эта внутренняя служба распознаёт следующие параметры: |
| .RS |
| .TP |
| .B SELABEL_OPT_PATH |
| Значение этого параметра, отличное от null, определяет путь к файлу, который будет открыт вместо стандартного файла контекстов Х (подробные сведения см. в разделе \fBФАЙЛЫ\fR). |
| .RE |
| . |
| .SH "ФАЙЛЫ" |
| То, какой файл контекста Х будет использоваться для получения контекста по умолчанию, зависит от параметра \fBSELABEL_OPT_PATH\fR, переданного в \fBselabel_open\fR(3). Если \fINULL\fR, то значением \fBSELABEL_OPT_PATH\fR по умолчанию станет расположение контекстов Х активной политики (возвращённое \fBselinux_x_context_path\fR(3)). В ином случае будет использовано фактическое указанное значение \fBSELABEL_OPT_PATH\fR. |
| .sp |
| Файл контекстов объектов Х по умолчанию: |
| .RS |
| .I /etc/selinux/{SELINUXTYPE}/contexts/x_contexts |
| .RE |
| .sp |
| Где \fI{SELINUXTYPE}\fR - запись из файла конфигурации selinux \fIconfig\fR (см. \fBselinux_config\fR(5)). |
| .sp |
| Записи, находящиеся внутри файла контекстов X, показаны в разделах \fBЗначения строки имени объекта\fR и \fBФОРМАТ ФАЙЛА\fR. |
| . |
| .SH "Значения строки имени объекта" |
| Имена строк, назначенные аргументам \fIobject_type\fR, которые могут присутствовать в файле контекстов X: |
| .TS |
| center, allbox, tab(@); |
| lI lB |
| lB l . |
| object_type@Текстовое имя |
| SELABEL_X_PROP@property |
| SELABEL_X_SELN@selection |
| SELABEL_X_EXT@extension |
| SELABEL_X_EVENT@event |
| SELABEL_X_CLIENT@client |
| SELABEL_X_POLYPROP@poly_property |
| SELABEL_X_POLYSELN@poly_selection |
| .TE |
| . |
| .SH "ФОРМАТ ФАЙЛА" |
| Каждая строка внутри файла контекстов X имеет следующий вид: |
| .RS |
| .I object_type object_name context |
| .RE |
| .sp |
| Где: |
| .RS |
| .I object_type |
| .RS |
| Это строковое представление типа объекта, показанное в разделе \fBЗначения строки имени объекта\fR. |
| Несколько строк с одной и той же строкой \fIobject_type\fR сформируют блок записей (каждая со своей строкой \fIobject_name\fR). |
| .RE |
| .I object_name |
| .RS |
| Это имена объектов конкретного ресурса сервера X, например, |
| \fBPRIMARY\fR, \fBCUT_BUFFER0\fR и т.д. Обычно они определены в исходном коде сервера X (\fIprotocol.txt\fR и \fIBuiltInAtoms\fR в каталоге |
| dix исходного пакета xorg\-server). |
| Запись может содержать подстановочные знаки '*' или '?' для выполнения сопоставления с дополнением или подстановкой. |
| Следует учитывать, что при использовании '*' важен порядок записей в файле. '*' в отдельном виде используется для того, чтобы обеспечить назначение резервного контекста по умолчанию, это должна быть последняя запись в блоке \fIobject_type\fR. |
| .RE |
| .I context |
| .RS |
| Контекст безопасности, который будет применён к объекту. |
| .RE |
| .RE |
| .sp |
| Пример 1: |
| .sp |
| .nf |
| # object_type object_name context |
| selection PRIMARY system_u:object_r:clipboard_xselection_t:s0 |
| selection * system_u:object_r:xselection_t:s0 |
| .fi |
| .sp |
| Пример 2 - этот пример показывает, как можно настроить запись клиента таким образом, чтобы она всегда находилась: |
| .sp |
| .nf |
| # object_type object_name context |
| client * system_u:object_r:remote_t:s0 |
| .fi |
| . |
| .SH "ПРИМЕЧАНИЯ" |
| .IP "1." 4 |
| Свойства и выделения отмечаются как многоэкземплярные или нет. Для этих типов имён параметр "POLY" выполняет поиск только имён, которые отмечены как многоэкземплярные, в то время как другой параметр выполняет поиск только имён, которые отмечены как не многоэкземплярные. Пользователям этого интерфейса следует проверить оба сопоставления и затем (необязательно) действовать на основе полученного результата (например, сделать объект многоэкземплярным). |
| .IP "2." 4 |
| Если контексты должны быть проверены, необходимо указать глобальный параметр \fBSELABEL_OPT_VALIDATE\fR перед вызовом \fBselabel_open\fR(3). Если этот параметр не указан, может быть возвращён недействительный контекст. |
| . |
| .SH "СМОТРИТЕ ТАКЖЕ" |
| .ad l |
| .nh |
| .BR selinux "(8), " selabel_open "(3), " selabel_lookup "(3), " selabel_stats "(3), " selabel_close "(3), " selinux_set_callback "(3), " selinux_x_context_path "(3), " freecon "(3), " selinux_config "(5) " |
| |
| |
| .SH АВТОРЫ |
| Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>. |
