DOKK / manpages / debian 12 / libsemanage-common / semanage.conf.5.ru
semanage.conf(5) Администрирование системы Linux semanage.conf(5)

ИМЯ

semanage.conf - глобальный файл конфигурации для библиотеки управления SELinux

ОПИСАНИЕ

Файл semanage.conf обычно располагается в каталоге /etc/selinux и используется для конфигурации поведения библиотеки управления SELinux в среде выполнения.

Каждая строка должна содержать параметр конфигурации, за которым следует знак равенства ("=") и значение конфигурации этого параметра. Все символы, которые следуют за "#", игнорируются (аналогично пустым строкам).

Разрешены следующие параметры:

Указать, как библиотека управления SELinux должна взаимодействовать с хранилищем политики SELinux. Если установлено "direct", библиотека управления SELinux выполняет запись напрямую в хранилище модулей политики SELinux (это значение по умолчанию). В ином случае в качестве аргумента может использоваться путь к сокету или имя сервера. Если аргумент начинается с "/" (как в "/foo/bar"), он представляет собой путь к именованному сокету, который следует использовать для подключения сервера управления политикой. Если аргумент не начинается с "/" (как в "example.com:4242"), он должен интерпретироваться как имя удалённого сервера управления политикой, который следует использовать через TCP-подключение (порт по умолчанию 4242, если только после имени сервера через двоеточие, разделяющее два поля, не указан другой порт).

Указать альтернативный корневой путь к хранилищу. По умолчанию: "/"

Указать альтернативный путь store_root. По умолчанию: "/var/lib/selinux"

Указать альтернативный каталог, который содержит компиляторы HLL в CIL. Значение по умолчанию: "/usr/libexec/selinux/hll".

Определяет, следует ли игнорировать кэш модулей CIL, скомпилированных из HLL. Можно установить либо значение "true", либо значение "false" (по умолчанию установлено "false"). Если кэш игнорируется, все модули CIL перекомпилируются из соответствующих модулей HLL.

При создании политики semanage по умолчанию устанавливает версию политики POLICYDB_VERSION_MAX, как определено в <sepol/policydb/policydb.h>. Измените этот параметр, если для политики требуется установить другую версию.

Целевая платформа, для которой создаются политики. Действительными значениями являются "selinux" и "xen" (по умолчанию установлено "selinux").

Определяет, следует ли проверять правила "neverallow" при исполнении всех команд semanage. Для этого параметра можно установить либо значение "0" (отключён), либо "1" (включён). По умолчанию параметр включён. Время выполнения может сильно возрасти, если этот параметр включён.

По умолчанию для разрешительного режима для файлов среды выполнения политики установлено значение 0644.

Определяет, следует ли сохранять прежний каталог модуля после успешной фиксации модуля в хранилище политики. Для параметра можно установить либо значение "true", либо значение "false". По умолчанию установлено "false" (прежняя версия удаляется).

Определяет, следует ли сохранять прежний связанный модуль (с именем "base.linked") после успешной фиксации модуля в хранилище политики. Для параметра можно установить либо значение "true", либо значение "false". По умолчанию установлено "false" (прежний модуль удаляется).

Разделённый ";" список каталогов, которые следует игнорировать при установке домашних каталогов пользователей. В некоторых дистрибутивах этот параметр используется для того, чтобы /root не отмечался как домашний каталог.

Определяет, использовать ли getpwent(), чтобы получить список домашних каталогов, для которых следует проставить метки. Для параметра можно установить либо значение "true", либо значение "false" (по умолчанию установлено "true").

Определяет, следует ли исполнять функцию genhomedircon при использовании команды semanage. Для параметра можно установить либо значение "true", либо значение "false". По умолчанию возможность genhomedircon включена (эквивалентно установке значения "false" для этого параметра).

Этот параметр управляет тем, как ядро обрабатывает разрешения, которые определены в ядре, но отсутствуют в фактической политике. Возможные значения: "deny", "reject" или "allow".

Этот параметр должен находиться в диапазоне 0-9. Значение 0 означает отсутствие сжатия. По умолчанию значение размера блока bzip равняется 9 (фактическое значение размера блока получается путём умножения на 100000).

Если для этого параметра установлено значение "true", алгоритм bzip попытается уменьшить использование системной памяти. Также для этого параметра можно установить значение "false" (по умолчанию установлено это значение).

Если для этого параметра установлено значение "true", файлы HLL будут удалены после компиляции в CIL. Чтобы удалить уже cкомпилированные в CIL файлы HLL, необходимо перекомпилировать модули, установив для параметра ignore-module-cache значение "true", или используя параметр ignore-module-cache с semodule. Для параметра remove-hll можно установить либо значение "true", либо значение "false" (по умолчанию установлено "false").

Обратите внимание: так как этот параметр удаляет все файлы HLL, обновлённый компилятор HLL не сможет перекомпилировать исходный файл HLL в CIL. Чтобы скомпилировать исходный файл HLL в CIL, необходимо переустановить этот файл HLL.

СМОТРИТЕ ТАКЖЕ

semanage(8)">">semanage(8)

АВТОРЫ

Эта страница руководства была написана Guido Trentalancia <guido@trentalancia.com>. Библиотека управления SELinux была написана Tresys Technology LLC и Red Hat Inc. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.

Сентябрь 2011 semanage.conf