selinux

selinux(8)                        NSA SELinux                       selinux(8)



ÐÐ'Я
       SELinux - ÑозÑиÑÐµÐ½Ð½Ñ Ð¼Ð¾Ð¶Ð»Ð¸Ð²Ð¾ÑÑей безпеки длÑ
       ÐÑнÑÐºÑ Ð½Ð°Ð¿Ð¸Ñане ÐаÑÑоналÑÐ½Ð¾Ñ ÐгенÑÑÑÑ Ðезпеки
       (ÐÐÐ) СШÐ.


ÐÐÐС
       РозÑиÑÐµÐ½Ð½Ñ Ð±ÐµÐ·Ð¿ÐµÐºÐ¸ ÐÑнÑÐºÑ ÐÐÐ (SELinux) Ñ Ð³Ð½ÑÑкоÑ
       ÑеалÑзаÑÑÑÑ Ð°ÑÑÑÑекÑÑÑи делегованого конÑÑолÑ
       доÑÑÑÐ¿Ñ Ð² опеÑаÑÑйнÑй ÑиÑÑÐµÐ¼Ñ ÐÑнÑкÑ. ÐÑÑÑÑекÑÑÑа
       SELinux Ð´Ð°Ñ Ð·Ð°Ð³Ð°Ð»ÑÐ½Ñ Ð¿ÑдÑÑÐ¸Ð¼ÐºÑ Ð±Ð°Ð³Ð°ÑÑÐ¾Ñ Ð·ÑÑилÑ
       ÑÑÐ·Ð½Ð¸Ñ Ð¿Ð¾Ð»ÑÑик по забезпеÑеннÑ
       делегованого конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпÑ, вклÑÑаÑÑи ÑÑ
       Ñо оÑновÑÑÑÑÑÑ Ð½Ð° конÑепÑÑÑÑ: ÐÑÑÐ¸Ð»Ð»Ñ ÐонÑÑолÑ
       ТипÑв (Type EnforcementA(R)), ÐонÑÑÐ¾Ð»Ñ ÐоÑÑÑпÑ
       ÐÑÐ½Ð¾Ð²Ð°Ð½Ð¾Ð¼Ñ Ð½Ð° РолÑÑ (Role-Based Access Control), Ñа
       ÐагаÑо Ð ÑвневÑй ÐезпеÑÑ (Multi-Level Security).
       ÐагалÑÐ½Ñ ÑнÑоÑмаÑÑÑ Ñа ÑеÑнÑÑÐ½Ñ Ð´Ð¾ÐºÑменÑаÑÑÑ Ð¿Ñо
       SELinux можна знайÑи на http://www.nsa.gov/selinux.


       Файл налаÑÑÑÐ²Ð°Ð½Ð½Ñ /etc/selinux/config конÑÑолÑÑ Ñи
       SELinux вклÑÑений Ñи виклÑÑений, а ÑкÑо
       вклÑÑений Ñо в ÑÐºÐ¾Ð¼Ñ ÑÐµÐ¶Ð¸Ð¼Ñ Ð²Ñн пÑаÑÑÑ: permissive,
       Ñи enforcing. ÐмÑнна SELINUX може пÑиймаÑи ÑÑи
       знаÑеннÑ: disabled, permissive, Ñи enforcing Ð´Ð»Ñ Ð²Ð¸Ð±Ð¾ÑÑ
       Ð¾Ð´Ð½Ð¾Ñ Ð· ÑÐ¸Ñ Ð¾Ð¿ÑÑй. ÐпÑÑÑ "disabled" повнÑÑÑÑ
       вÑдклÑÑÐ°Ñ SELinux  на ÑÑÐ²Ð½Ñ ÑдÑа Ñа пÑогÑам Ñ
       залиÑÐ°Ñ ÑиÑÑÐµÐ¼Ñ Ð¿ÑаÑÑваÑи без бÑдÑ-Ñкого
       заÑиÑÑÑ SELinux. ÐпÑÑÑ "permissive" вклÑÑÐ°Ñ Ð¿Ð¾Ð»ÑÑикÑ
       SELinux, але в ÑÐµÐ¶Ð¸Ð¼Ñ Ñ ÑÐºÐ¾Ð¼Ñ Ð´Ð¾ÑÑÑп
       забоÑонений полÑÑÐ¸ÐºÐ¾Ñ Ð±Ñде дозволений,
       але ÑÐ°ÐºÑ Ñакого доÑÑÑÐ¿Ñ Ð¿ÑоÑоколÑÑÑÑÑÑ Ð°ÑдиÑом.
       ÐпÑÑÑ "enforcing" вклÑÑÐ°Ñ Ð¿Ð¾Ð»ÑÑÐ¸ÐºÑ SELinux в ÑежимÑ
       забоÑони доÑÑÑÐ¿Ñ Ñа пÑоÑоколÑÑ Ð°ÑдиÑом його
       ÑпÑоби.  Режим permissive може поÑоджÑваÑи ÑÑзнÑ
       ваÑÑанÑи забоÑони доÑÑÑÐ¿Ñ Ð½Ð° пÑоÑивагÑ
       ÑÐµÐ¶Ð¸Ð¼Ñ enforcing, з Ð´Ð²Ð¾Ñ Ð¿ÑиÑин: ÑÑÐ¼Ñ Ñо пÑи ÑежимÑ
       enforcing бÑде забоÑонена бÑдÑ-Ñка ÑпÑоба з
       Ñамого поÑаÑÐºÑ Ð·Ð°Ð±Ð¾ÑÐ¾Ð½ÐµÐ½Ð¾Ñ Ð¾Ð¿ÐµÑаÑÑÑ Ð½Ðµ
       аналÑзÑÑÑи навÑÑÑ ÑлÑÑ ÑÑ Ð²Ð¸ÐºÐ¾Ð½Ð°Ð½Ð½Ñ Ñ ÑÐ¾Ð¼Ñ Ñо
       пÑи забоÑÐ¾Ð½Ñ Ð´Ð¾ÑÑÑÐ¿Ñ ÐºÐ¾Ð´ деÑÐºÐ¸Ñ Ð¿ÑогÑам бÑде
       пеÑеведений в непÑивÑлейований Ñежим
       виконаннÑ.


       Файл налаÑÑÑÐ²Ð°Ð½Ð½Ñ /etc/selinux/config Ñакож
       конÑÑолÑÑ Ñка з полÑÑик акÑивна в ÑиÑÑемÑ.
       SELinux дозволÑÑ Ð²ÑÑановлÑваÑи багаÑо полÑÑик,
       але в бÑдÑ-Ñкий Ð¼Ð¾Ð¼ÐµÐ½Ñ ÑаÑÑ ÑÑлÑки одна зниÑ
       може бÑÑи акÑиавна.  Ðа ÑÑÐ¾Ð³Ð¾Ð´Ð½Ñ ÑÑнÑÑ Ð´Ð²Ð°
       види полÑÑик SELinux: планÑвалÑна (targeted) Ñа
       жоÑÑÑкообмежÑвалÑна (strict).  ÐланÑвалÑна
       полÑÑика ÑозÑоблена, Ñк полÑÑика пÑи ÑкÑй
       бÑлÑÑÑÑÑÑ Ð¿ÑоÑеÑÑв пÑаÑÑÑÑÑ Ð±ÐµÐ· Ð¾Ð±Ð¼ÐµÐ¶ÐµÐ½Ñ Ñ ÑÑлÑки
       ÑпеÑÑалÑÐ½Ñ ÑеÑвÑÑи помÑÑаÑÑÑÑÑ Ð² домен
       обмежений полÑÑикоÑ. ÐÐ»Ñ Ð¿ÑикладÑ,
       коÑиÑÑÑваÑÑ Ð¼Ð¾Ð¶ÑÑÑ Ð¿ÑаÑÑваÑи в повнÑÑÑÑ
       Ð½ÐµÐ¾Ð±Ð¼ÐµÐ¶ÐµÐ½Ð¾Ð¼Ñ ÑеÑедовиÑÑ, в Ñой ÑÐ°Ñ ÐºÐ¾Ð»Ð¸
       ÑеÑвÑÑи named Ñи apache бÑдÑÑÑ Ð¿ÑаÑÑваÑи в
       ÑпеÑÑалÑÐ½Ð¾Ð¼Ñ Ð´Ð¾Ð¼ÐµÐ½Ñ ÑозÑÐ¾Ð±Ð»ÐµÐ½Ð¾Ð¼Ñ Ð´Ð»Ñ ÑÑ
       ÑобоÑи. ÐоÑÑÑкообмежÑвалÑна полÑÑика Ñ
       ÑозÑоблена, Ñк полÑÑика пÑи ÑкÑй вÑÑ Ð¿ÑоÑеÑи Ñ
       ÑозподÑÐ»ÐµÐ½Ñ Ð¿Ð¾ добÑе пÑоÑаÑÐ¾Ð²Ð°Ð½Ð¾Ð¼Ñ Ð´Ð¾Ð¼ÐµÐ½Ñ
       безпеки Ñ Ð¾Ð±Ð¼ÐµÐ¶ÐµÐ½Ñ Ð¿Ð¾Ð»ÑÑикоÑ. ÐеÑедбаÑаÑÑÑÑÑ
       в майбÑÑнÑÐ¾Ð¼Ñ ÑÑвоÑÐµÐ½Ð½Ñ ÑнÑÐ¸Ñ Ð¿Ð¾Ð»ÑÑик
       (напÑиклад ÐагаÑо-Ð ÑÐ²Ð½ÐµÐ²Ð¾Ñ Ðезпеки). Ðи
       можиÑе визнаÑаÑи ÑÐºÑ Ð¿Ð¾Ð»ÑÑикÑ
       викоÑиÑÑовÑваÑи вÑÑановивÑи змÑннÑ
       ÑеÑедовиÑа SELINUXTYPE Ñ ÑÐ°Ð¹Ð»Ñ  /etc/selinux/config. ÐлÑ
       ÐºÐ¾Ð¶Ð½Ð¾Ñ ÑÐ°ÐºÐ¾Ñ Ð¿Ð¾Ð»ÑÑики, вÑдповÑдне
       налаÑÑÑÐ²Ð°Ð½Ð½Ñ Ð¿Ð¾Ð»ÑÑики, мÑÑиÑÑ Ð±ÑÑи
       вÑÑановлене в диÑекÑоÑÑÑ /etc/selinux/SELINUXTYPE/


       ÐÐ°Ð½Ñ  полÑÑики SELinux можна пÑдлаÑÑовÑваÑи в
       майбÑÑнÑÐ¾Ð¼Ñ Ð¾ÑновÑÑÑиÑÑ Ð½Ð° опÑимÑзаÑÑйниÑ
       опÑÑÑÑ Ð¿ÑдÑÐ°Ñ ÐºÐ¾Ð¼Ð¿ÑлÑÑÑÑ Ñа логÑÑÐ½Ð¸Ñ ÑÑÑановкаÑ
       пÑдÑÐ°Ñ ÑобоÑи. system-config-securitylevel дозволÑÑ
       пÑдлаÑÑÑÐ²Ð°Ð½Ð½Ñ Ñа опÑимÑзаÑÑÑ ÑÐ¸Ñ Ð»Ð¾Ð³ÑÑниÑ
       ÑÑÑановок.


ÐÐТÐÐ Ð
       Ð¦Ñ ÑÑоÑÑнка бÑла напиÑана Ðаном ÐалÑом (Dan
       Walsh) dwalsh@redhat.com


ÐÐÐÐÐÐРТÐÐÐ
       load_policy(8), checkpolicy(8), setfiles(8), booleans(8), setsebool(8),
       selinuxenabled(8), togglesebool(8).


ФÐÐÐÐ
       /etc/selinux/config




© 2005-2v01.22-r1 пеÑеклад: беÑа веÑÑÑÑ 2007-10-27-16:3selinux(8)