Provided by: policycoreutils_2.9-2_amd64 bug

ИМЯ

       config - файл конфигурации подсистемы SELinux.

ОПИСАНИЕ

       Файл config SELinux управляет состоянием SELinux, определяя:

              1.  Состояние  применения  политики  - enforcing (принудительный режим), permissive
                  (разрешительный режим) или disabled (отключена).

              2.  Имя политики или тип, формирующий путь к политике, которую следует загрузить, и
                  её вспомогательным файлам конфигурации.

              3.  Способ управления локальными пользователями и логическими переключателями после
                  загрузки политики (обратите внимание,  что  эта  возможность  использовалась  в
                  предыдущих версиях SELinux, сейчас она устарела).

              4.  Поведение   поддерживающих   SELinux   приложений  при  отсутствии  настроенных
                  действительных пользователей SELinux.

              5.  Следует ли повторно проставлять метки в системе.

       Описание записей, которые управляют  этими  возможностями,  приводится  в  разделе  ФОРМАТ
       ФАЙЛА.

       Полный путь к файлу конфигурации SELinux: /etc/selinux/config.

       Если  файл  config отсутствует или повреждён, политика SELinux не будет загружена (то есть
       SELinux будет отключён).

       Команда sestatus (8) и функция libselinux selinux_path (3) возвращают  расположение  файла
       config.

ФОРМАТ ФАЙЛА

       Файл config поддерживает следующие параметры:

              SELINUX = enforcing | permissive | disabled
              SELINUXTYPE = policy_name
              SETLOCALDEFS = 0 | 1
              REQUIREUSERS = 0 | 1
              AUTORELABEL = 0 | 1

       Где:
       SELINUX
              Эта запись может содержать одно из трёх значений:

                     enforcing
                         Политика безопасности SELinux применяется.

                     permissive
                         Политика  безопасности SELinux не применяется, но ведётся журналирование
                         предупреждений (то есть действиям разрешено продолжать выполняться).

                     disabled
                         SELinux отключён, политика не загружена.

              Значение   записи   можно   узнать    с    помощью    команды    sestatus(8)    или
              selinux_getenforcemode(3).

       SELINUXTYPE
              Запись policy_name используется для идентификации типа политики и становится именем
              каталога, в котором располагаются политика и её файлы конфигурации.

              Значение   записи   можно   узнать    с    помощью    команды    sestatus(8)    или
              selinux_getpolicytype(3).

              policy_name  относится  к пути, который определён внутри подсистемы SELinux и может
              быть получен  с  помощью  selinux_path(3).  Пример  записи,  полученной  с  помощью
              selinux_path(3):
                     /etc/selinux/

              Затем  к  концу  этой  записи  добавляется  policy_name,  и она становится корневым
              расположением    политики,    которое    может    быть    получено    с     помощью
              selinux_policy_root_path(3). Пример полученной записи:
                     /etc/selinux/targeted

              Фактическая двоичная политика расположена относительно этого каталога и также имеет
              предварительно выделенное имя политики. Эту информацию  можно  получить  с  помощью
              selinux_binary_policy_path(3).     Пример     записи,    полученной    с    помощью
              selinux_binary_policy_path(3):
                     /etc/selinux/targeted/policy/policy

              По соглашению к концу имени двоичной политики добавляется версия политики  SELinux,
              которую она поддерживает. Максимальную версию политики, поддерживаемую ядром, можно
              определить с помощью команды sestatus(8) или security_policyvers(3).  Пример  файла
              двоичной политики с версией:
                     /etc/selinux/targeted/policy/policy.24

       SETLOCALDEFS
              Эта запись устарела. Следует её удалить или задать для неё значение 0.

              Если   задано  значение  1,  selinux_mkload_policy(3)  выполнит  чтение  логических
              переключателей (см. booleans(5)) и пользователей (см. local.users(5))  в  локальной
              настройке.

       REQUIRESEUSERS
              Эта  необязательная  запись позволяет сделать попытку входа неудачной, если в файле
              seusers(5) нет соответствующей записи или записи по умолчанию или  отсутствует  сам
              файл seusers.

              Она  проверяется  функцией  getseuserbyname(3),  которая вызывается поддерживающими
              SELinux приложениями для входа, например, PAM(8).

              Если задано значение 0 или отсутствует запись:
                     getseuserbyname(3)  вернёт  имя  пользователя  GNU  /   Linux   в   качестве
                     пользователя SELinux.

              Если задано значение 1:
                     getseuserbyname(3) не удастся выполнить.

              Описание  работы  getseuserbyname(3)  содержится  на  соответствующей man-странице.
              Формат файла seusers показан в seusers(5).

       AUTORELABEL
              Эта необязательная запись позволяет повторно проставлять метки в файловой системе.

              Если задано значение 0 и в корневом каталоге имеется файл  с  именем  .autorelabel,
              при  перезагрузке  загрузчик  перейдёт  в  оболочку,  запрашивающую вход в качестве
              пользователя root. Затем администратор сможет вручную проставить метки  в  файловой
              системе.

              Если задано значение 1 или запись отсутствует (состояние по умолчанию) и в корневом
              каталоге имеется файл .autorelabel,  в  файловой  системе  с  помощью  fixfiles  -F
              restore будут автоматически повторно проставлены метки.

              В  обоих  случаях  файл /.autorelabel будет удалён, чтобы предотвратить последующее
              повторное проставление меток.

ПРИМЕР

       В этом примере показано минимальное содержимое  файла  config,  которое  обеспечит  запуск
       SELinux в системе в принудительном режиме, со значением policy_name 'targeted':

              SELINUX = enforcing
              SELINUXTYPE = targeted

СМОТРИТЕ ТАКЖЕ

       selinux(8),        sestatus(8),        selinux_path(3),       selinux_policy_root_path(3),
       selinux_binary_policy_path(3),       getseuserbyname(3),       PAM(8),        fixfiles(8),
       selinux_mkload_policy(3),         selinux_getpolicytype(3),        security_policyvers(3),
       selinux_getenforcemode(3), seusers(5), booleans(5), local.users(5)

АВТОРЫ

       Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.