semanage.conf(5) Администрирование системы Linux semanage.conf(5)
ИМЯ
semanage.conf - глобальный файл конфигурации для библиотеки управления
SELinux
ОПИСАНИЕ
Файл semanage.conf обычно располагается в каталоге /etc/selinux и
используется для конфигурации поведения библиотеки управления SELinux в
среде выполнения.
Каждая строка должна содержать параметр конфигурации, за которым
следует знак равенства ("=") и значение конфигурации этого параметра.
Все символы, которые следуют за "#", игнорируются (аналогично пустым
строкам).
Разрешены следующие параметры:
module-store
Указать, как библиотека управления SELinux должна
взаимодействовать с хранилищем политики SELinux. Если
установлено "direct", библиотека управления SELinux
выполняет запись напрямую в хранилище модулей политики
SELinux (это значение по умолчанию). В ином случае в
качестве аргумента может использоваться путь к сокету или
имя сервера. Если аргумент начинается с "/" (как в
"/foo/bar"), он представляет собой путь к именованному
сокету, который следует использовать для подключения
сервера управления политикой. Если аргумент не
начинается с "/" (как в "example.com:4242"), он должен
интерпретироваться как имя удалённого сервера управления
политикой, который следует использовать через
TCP-подключение (порт по умолчанию 4242, если только
после имени сервера через двоеточие, разделяющее два
поля, не указан другой порт).
root Указать альтернативный корневой путь к хранилищу. По
умолчанию: "/"
store-root
Указать альтернативный путь store_root. По умолчанию:
"/var/lib/selinux"
compiler-directory
Указать альтернативный каталог, который содержит
компиляторы HLL в CIL. Значение по умолчанию:
"/usr/libexec/selinux/hll".
ignore-module-cache
Определяет, следует ли игнорировать кэш модулей CIL,
скомпилированных из HLL. Можно установить либо значение
"true", либо значение "false" (по умолчанию установлено
"false"). Если кэш игнорируется, все модули CIL
перекомпилируются из соответствующих модулей HLL.
policy-version
При создании политики semanage по умолчанию устанавливает
версию политики POLICYDB_VERSION_MAX, как определено в
<sepol/policydb/policydb.h>. Измените этот параметр, если
для политики требуется установить другую версию.
target-platform
Целевая платформа, для которой создаются политики.
Действительными значениями являются "selinux" и "xen" (по
умолчанию установлено "selinux").
expand-check
Определяет, следует ли проверять правила "neverallow" при
исполнении всех команд semanage. Для этого параметра
можно установить либо значение "0" (отключён), либо "1"
(включён). По умолчанию параметр включён. Время
выполнения может сильно возрасти, если этот параметр
включён.
file-mode
По умолчанию для разрешительного режима для файлов среды
выполнения политики установлено значение 0644.
save-previous
Определяет, следует ли сохранять прежний каталог модуля
после успешной фиксации модуля в хранилище политики. Для
параметра можно установить либо значение "true", либо
значение "false". По умолчанию установлено "false"
(прежняя версия удаляется).
save-linked
Определяет, следует ли сохранять прежний связанный модуль
(с именем "base.linked") после успешной фиксации модуля в
хранилище политики. Для параметра можно установить либо
значение "true", либо значение "false". По умолчанию
установлено "false" (прежний модуль удаляется).
ignoredirs
Разделённый ";" список каталогов, которые следует
игнорировать при установке домашних каталогов
пользователей. В некоторых дистрибутивах этот параметр
используется для того, чтобы /root не отмечался как
домашний каталог.
usepasswd
Определяет, использовать ли getpwent(), чтобы получить
список домашних каталогов, для которых следует проставить
метки. Для параметра можно установить либо значение
"true", либо значение "false" (по умолчанию установлено
"true").
disable-genhomedircon
Определяет, следует ли исполнять функцию genhomedircon
при использовании команды semanage. Для параметра можно
установить либо значение "true", либо значение "false".
По умолчанию возможность genhomedircon включена
(эквивалентно установке значения "false" для этого
параметра).
handle-unknown
Этот параметр управляет тем, как ядро обрабатывает
разрешения, которые определены в ядре, но отсутствуют в
фактической политике. Возможные значения: "deny",
"reject" или "allow".
bzip-blocksize
Этот параметр должен находиться в диапазоне 0-9. Значение
0 означает отсутствие сжатия. По умолчанию значение
размера блока bzip равняется 9 (фактическое значение
размера блока получается путём умножения на 100000).
bzip-small
Если для этого параметра установлено значение "true",
алгоритм bzip попытается уменьшить использование
системной памяти. Также для этого параметра можно
установить значение "false" (по умолчанию установлено это
значение).
remove-hll
Если для этого параметра установлено значение "true",
файлы HLL будут удалены после компиляции в CIL. Чтобы
удалить уже cкомпилированные в CIL файлы HLL, необходимо
перекомпилировать модули, установив для параметра ignore-
module-cache значение "true", или используя параметр
ignore-module-cache с semodule. Для параметра remove-hll
можно установить либо значение "true", либо значение
"false" (по умолчанию установлено "false").
Обратите внимание: так как этот параметр удаляет все
файлы HLL, обновлённый компилятор HLL не сможет
перекомпилировать исходный файл HLL в CIL. Чтобы
скомпилировать исходный файл HLL в CIL, необходимо
переустановить этот файл HLL.
СМОТРИТЕ ТАКЖЕ
semanage(8)
АВТОРЫ
Эта страница руководства была написана Guido Trentalancia
<guido@trentalancia.com>. Библиотека управления SELinux была написана
Tresys Technology LLC и Red Hat Inc. Перевод на русский язык выполнила
Герасименко Олеся <gammaray@basealt.ru>.
semanage.conf Сентябрь 2011 semanage.conf(5)
Generated by dwww version 1.15 on Mon Jul 1 04:52:02 CEST 2024.