ИМЯ
setrans.conf - файл
конфигурации
преобразования
для систем
MCS/MLS SELinux
ОПИСАНИЕ
Файл
конфигурации
/etc/selinux/{SELINUXTYPE}/setrans.conf
определяет
способ,
которым
метки SELinux MCS/MLS
преобразовываются
в удобную
для
прочтения
человеком
форму с
помощью
внутренней
службы mcstransd.
Политики
по
умолчанию
поддерживают
16 уровней
конфиденциальности
(от s0 до s15) и 1024
категории
(от c0 до c1023).
Если
категорий
несколько,
их можно
разделить
запятыми
(c0,c1,c3,c5), а
диапазон
категорий -
сократить
с помощью
указания
через
точку (c0.c3,c5).
Ключевые
слова
- Base
- когда
объявляется
база, ко
всем
последующим
определениям
меток
конфиденциальности
будут при
преобразовании
применяться
модификаторы.
Метки
конфиденциальности,
которые
были
определены
до
объявления
базы,
незамедлительно
кэшируются,
и к ним не
применяются
модификаторы;
они
используются
в качестве
прямого
преобразования.
- Default
- определяет
битовый
диапазон
категорий,
который
будет
использоваться
для
обратных
битов.
- Domain
- создаёт
новый
домен с
указанным
именем.
- Include
- прочитать
и
обработать
содержимое
указанного
файла
конфигурации.
- Join
- определяет
символ,
который
используется
для
разделения
участников
группы
модификаторов,
когда
указано
более
одного
(например,
USA/AUS).
- ModifierGroup
- средство
группировки
битовых
определений
категорий
по тому,
как они
изменяют
метку
конфиденциальности.
- Prefix
- слова
(слова),
которое
может
предшествовать
участнику
(участникам)
группы
модификаторов
(например, REL
USA).
- Suffix
- слово
(слова),
которое
может
следовать
за
участником
(участниками)
группы
модификаторов
(например, USA
EYES ONLY).
- Whitespace
- определяет
набор
допустимых
пробельных
символов,
которые
могут
использоваться
в
преобразовываемой
метке.
Примеры
определения
уровня
конфиденциальности
- s0=SystemLow
- определяет
преобразование
s0
(минимального
уровня
конфиденциальности)
без
категорий
в SystemLow.
- s15:c0.c1023=SystemHigh
- определяет
преобразование
s15:c0.c1023 в SystemHigh. c0.c1023 -
сокращённое
обозначение
всех
категорий.
Уровень
конфиденциальности
и
категории
разделены
двоеточием.
- s0-s15:c0.c1023=SystemLow-SystemHigh
- определяет
преобразование
диапазона
s0-s15:c0.c1023 в SystemLow-SystemHigh. Два
компонента
диапазона
разделены
дефисом.
- s0:c0=PatientRecord
- определяет
преобразование
уровня
конфиденциальности
s0 с
категорией
c0 в PatientRecord.
- s0:c1=Accounting
- определяет
преобразование
уровня
конфиденциальности
s0 с
категорией
c1 в Accounting.
- s2:c1,c2,c3=Confidential3Categories
- s2:c1.c3=Confidential3Categories
- и то, и
другое
определяет
преобразование
уровня
конфиденциальности
s2 с
категориями
c1, c2 и c3 в Confidential3Categories.
- s5=TopSecret
- определяет
преобразование
уровня
конфиденциальности
s5 без
категорий
в TopSecret.
Примеры
ограничения
- c0!c1
- если
одновременно
заданы
биты
категорий 0
и 1,
ограничение
не
сработает
и будет
возвращён
исходный
контекст.
- c5.c9>c1
- если
заданы
биты
категорий
с 5 по 9, бит 1
также
необходимо
установить
- иначе
ограничение
не
сработает
и будет
возвращён
исходный
контекст.
- s1!c5,c9
- если
заданы
биты
категорий
с 5 по 9 и
уровень
конфиденциальности
равен s1,
ограничение
не
сработает
и будет
возвращён
исходный
контекст.
ФАЙЛЫ
/etc/selinux/{SELINUXTYPE}/setrans.conf
/usr/share/mcstrans/examples
АВТОРЫ
Написано
Joe Nall <joe@nall.com>.
Обновлено Ted
X. Toth <txtoth@gmail.com>.
Перевод на
русский
язык
выполнила
Герасименко
Олеся <gammaray@basealt.ru>.