ИМЯ

selabel_file - интерфейс проставления меток SELinux в пространстве пользователя и формат файла конфигурации для внутренней службы контекстов файлов

ОБЗОР

#include <selinux/label.h>

int selabel_lookup(struct selabel_handle *hnd,
char **context,
const char *path, int mode);

int selabel_lookup_raw(struct selabel_handle *hnd,
char **context,
const char *path, int mode);

ОПИСАНИЕ

Внутренняя служба контекстов файлов сопоставляет сочетания 'путь/режим' с контекстами безопасности. Это действие служит для нахождения правильного контекста для каждого файла при повторном проставлении меток в файловой системе. Необходимо освободить возвращённый context с помощью freecon(3).
selabel_lookup(3) описывает функцию с её возвращаемыми значениями и кодами ошибок. Тем не менее, далее приводится более подробное описание следующих значений errno для внутренней службы контекстов файлов:

ENOENT: Не найден контекст, соответствующий path и mode, - это сообщение будет возвращено и в том случае, если серия файлов контекстов файлов имеет контекст <<none>> относительно path (см. раздел ФОРМАТ ФАЙЛА).

Аргумент path должен быть установлен в полный путь к файлу, назначенный контекст которого проверяется. Аргумент mode должен быть установлен в биты режима файла, как определено lstat(2). Аргумент mode может быть нулевым, но в этом случае, возможно, не удастся установить полное соответствие.

Все сообщения, созданные с помощью selabel_lookup(3), по умолчанию отправляются в stderr. Это поведение можно изменить с помощью selinux_set_callback(3).

selabel_lookup_raw(3) работает аналогично selabel_lookup(3), но не выполняет преобразование контекста.

В разделе ФАЙЛЫ приводится описание файлов конфигурации, которые используются для определения контекста файла.

ПАРАМЕТРЫ

Помимо глобальных параметров, описание которых приведено в selabel_open(3), эта внутренняя служба распознаёт следующие параметры:

SELABEL_OPT_PATH: Значение этого параметра, отличное от null, определяет путь к файлу, который будет открыт вместо стандартного файла контекстов файлов. Это значение также используется как базовое имя для определения имён локальных файлов настройки.
SELABEL_OPT_BASEONLY: Отличное от null значение этого параметра означает, что любую локальную настройку сопоставления контекста файла следует игнорировать.
SELABEL_OPT_SUBSET: Отличное от null значение этого параметра интерпретируется как префикс пути, например, "/etc". Будут загружены только те спецификации контекстов файлов, первый компонент которых совпадает с указанным префиксом. Это может ускорить выполнение поиска, но, возможно, не удастся найти путь, который не начинается с указанного префикса. Данная оптимизация поиска больше не требуется (и устарела), вместо неё используется file_contexts.bin.

ФАЙЛЫ

То, какие файлы контекстов файлов используются для получения контекста по умолчанию, зависит от параметра SELABEL_OPT_PATH, переданного в selabel_open(3). Если это NULL, то SELABEL_OPT_PATH по умолчанию примет значение расположения контекстов файлов активной политики (которое возвращает selinux_file_context_path(3)), в ином случае будет использовано фактическое указанное значение SELABEL_OPT_PATH.

Если параметр SELABEL_OPT_BASEONLY задан, будут обрабатываться следующие файлы:

1.: Обязательный файл контекстов файлов - это либо полное имя файла из SELABEL_OPT_PATH.value, либо (если NULL) путь, который возвращает selinux_file_context_path(3).
2.: Необязательные файлы для замены имён (файл для локального использования и файл для использования с дистрибутивами), которые присваивают псевдонимы пути для 'находящейся в памяти' версии файла контекстов файлов.
Эти файлы имеют то же имя, что и у обязательного файла контекстов файлов, и расширения .subs и .subs_dist.

Если параметр SELABEL_OPT_BASEONLY не задан, будут обработаны следующие файлы:

1.: Обязательный файл контекстов файлов, который является либо полным именем файла из SELABEL_OPT_PATH.value, либо (если NULL) путём, который возвращает selinux_file_context_path(3).
2.: Необязательный файл локальной настройки, имеющий то же имя, что и обязательный файл контекстов файлов, и расширение .local.
selinux_file_context_local_path(3) вернёт путь по умолчанию к этому файлу.
3.: Необязательный файл настройки домашнего каталога пользователя, имеющий то же имя, что и обязательный файл контекстов файлов, и расширение .homedirs.
selinux_file_context_homedir_path(3) вернёт путь по умолчанию к этому файлу.
4.: Необязательные файлы для замены имён (файл для локального использования и файл для использования с дистрибутивами), которые присваивают псевдонимы пути для 'находящейся в памяти' версии файла контекстов файлов (и .local и/или .homedirs, если они имеются). Эти файлы имеют то же имя, что и обязательный файл контекстов файлов, и расширения .subs и .subs_dist.
selinux_file_context_subs_path(3) и selinux_file_context_subs_dist_path(3) вернут пути по умолчанию к этим файлам.

По умолчанию серия файлов контекстов файлов:

/etc/selinux/{SELINUXTYPE}/contexts/files/file_contexts
/etc/selinux/{SELINUXTYPE}/contexts/files/file_contexts.local
/etc/selinux/{SELINUXTYPE}/contexts/files/file_contexts.homedirs
/etc/selinux/{SELINUXTYPE}/contexts/files/file_contexts.subs
/etc/selinux/{SELINUXTYPE}/contexts/files/file_contexts.subs_dist

Где {SELINUXTYPE} - запись из файла конфигурации selinux config (см. selinux_config(5)).

Обязательным является только файл file_contexts, все остальные являются необязательными.

Записи внутри серии файлов контекстов файлов показаны в разделе ФОРМАТ ФАЙЛА.

ФОРМАТ ФАЙЛА

Формат контекстов файлов

Каждая строка внутри file_contexts и двух файлов настройки (.local и .homedirs) имеет следующий вид:

pathname [file_type] context

Где:

pathname

Определяющая имя пути запись, которая может быть в виде регулярного выражения.

file_type

Необязательный тип файла, который состоит из:

-b - устройство блочного ввода-вывода -c - устройство символьного ввода-вывода
-d - каталог -p - именованный канал
-l - символическая ссылка -s - сокет
-- - обычный файл

context

Запись может быть одним из следующих:

a.: Контекст безопасности, который будет назначен этому файлу (то есть возвращён как context).
b.: Значение <<none>> можно использовать, чтобы указать, что для соответствующих файлов не следует повторно проставлять метки, а также при этом значении selabel_lookup(3) вернёт -1 при установке errno в ENOENT.

Пример:

# ./contexts/files/file_contexts
# pathname file_type context
/.* system_u:object_r:default_t:s0
/[^/]+ -- system_u:object_r:etc_runtime_t:s0
/tmp/.* <<none>>

Формат файла подстановки

Каждая строка внутри файлов подстановки (.subs и .subs_dist) имеет вид:

subs_pathname pathname

Где:

pathname

Путь, который соответствует записи в одном или нескольких файлах конфигурации политики контекстов файлов.

subs_pathname

Путь, который станет псевдонимом имени пути (считается равнозначным при поиске).

Пример:

# ./contexts/files/file_contexts.subs
# pathname subs_pathname
/myweb /var/www
/myspool /var/spool/mail

Пример выше: когда в selabel_lookup(3) передаётся путь /myweb/index.html, функция заменяет компонент /myweb на /var/www, поэтому будет использоваться следующий путь:

/var/www/index.html

ПРИМЕЧАНИЯ

1.: Если контексты должны быть проверены, необходимо указать глобальный параметр SELABEL_OPT_VALIDATE перед вызовом selabel_open(3). Если этот параметр не указан, может быть возвращён недействительный контекст.
2.: Если серия файлов контекстов файлов содержит много записей, selabel_open(3) может медленно выполнять чтение в файлах и (если это запрошено) проверку записей.
3.: В некоторых версиях SELinux также может присутствовать файл file_contexts.template, но он устарел.
Файл шаблона имеет тот же формат, что и файл file_contexts, а также может содержать ключевые слова HOME_ROOT, HOME_DIR, ROLE и USER. Эта функциональность была перемещена в хранилище политик и управляется semodule(8) и genhomedircon(8).

АВТОРЫ

Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.

ИМЯ