Provided by: policycoreutils_3.0-1_amd64 
ИМЯ
restorecon - восстановить SELinux-контексты безопасности файлов по умолчанию.
ОБЗОР
restorecon [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W] [-I|-D] [-e directory] pathname ...
restorecon [-f infilename] [-e directory] [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W]
[-I|-D]
ОПИСАНИЕ
Эта страница руководства содержит описание программы restorecon.
Эта программа используется в основном для установки контекста безопасности (расширенных
атрибутов) для одного или нескольких файлов.
Также можно запустить её в любой момент, чтобы исправить некорректные метки, добавить
поддержку недавно установленной политики или, используя параметр -n , пассивно проверить,
соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной
политике (поведение по умолчанию).
Если объект файла не имеет контекста, restorecon запишет контекст по умолчанию в
расширенные атрибуты объекта файла. Если объект файла имеет контекст, restorecon изменит
только ту часть контекста безопасности, которая относится к типу. Параметр -F позволяет
принудительно заменить контекст целиком.
Если у файла имеется метка настраиваемого типа SELinux customizable (список настраиваемых
типов: /etc/selinux/{SELINUXTYPE}/contexts/customizable_types), restorecon выполнит сброс
метки только при условии использования параметра -F.
Эта программа аналогична setfiles, но действует немного другим образом в зависимости от
значения argv[0].
ПАРАМЕТРЫ
-e directory
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо
использовать соответствующее количество раз; необходимо указывать полный путь).
-f infilename
infilename содержит список файлов для обработки. Используйте “-” для stdin.
-F принудительно сбросить контекст, чтобы обеспечить соответствие file_context для
настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных
файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а
также тип).
-h, -? показать сведения об использовании и выйти.
-i игнорировать файлы, которые не существуют.
-I игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый
дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии
отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в
разделе ПРИМЕЧАНИЯ.
-D установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот
параметр, чтобы включить использование расширенного атрибута
security.restorecon_last.
-m не выполнять чтение /proc/mounts для получения списка монтирований без seclabel,
которые следует исключить из проверок с повторным проставлением меток. Установка
этого параметра полезна при наличии смонтированной файловой системы без seclabel, в
которой в расположенном ниже каталоге смонтирована файловая система с seclabel.
-n не изменять метки файлов (пассивная проверка). Чтобы просмотреть файлы, метки
которых были бы изменены, добавьте -v.
-o outfilename
этот параметр устарел и больше не поддерживается.
-p показывать ход выполнения, выводя количество обработанных файлов (единица измерения
- блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное
проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите
внимание, что параметры -p и -v являются взаимоисключающими.
-R, -r рекурсивно изменить метки файлов для файлов и каталогов (спускаться по каталогам).
-v показать изменения в метках файлов. Использование нескольких параметров -v
увеличивает уровень детализации. Обратите внимание, что параметры -v и -p являются
взаимоисключающими.
-W показать предупреждения о записях, для которых не обнаружены соответствующие файлы,
с помощью вывода результатов selabel_stats(3).
-0 предполагается, что разделителем для элементов ввода является символ нуля (вместо
пробела). Символы кавычек и обратной косой черты также считаются обычными
символами, которые могут формировать допустимый ввод. Этот параметр также
отключает строку конца файла (end-of-file string), она обрабатывается, как любой
другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или
обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий для
этого режима.
АРГУМЕНТЫ
pathname ... Путь к файлу (файлам), для которых следует повторно проставить метки.
ПРИМЕЧАНИЯ
1. restorecon не переходит по символическим ссылкам и по умолчанию не работает с
каталогами рекурсивно.
2. Если в pathname указан корневой каталог, установлен параметр -vR или -vr, а также
запущена система аудита, в журнал с меткой сообщения FS_RELABEL автоматически
записывается событие аудита, которое содержит сообщение о том, что произошло "массовое
повторное проставление меток".
3. Для повышения производительности при рекурсивном повторном проставлении меток в
файловых системах (то есть тогда, когда установлен параметр -R или -r ), параметр -D
команды restorecon обеспечит сохранение дайджеста SHA1 файлов спецификации по
умолчанию в расширенном атрибуте с именем security.restorecon_last для каталогов,
указанных в соответствующих путях pathname ... , после успешного завершения
повторного проставления меток. Этот дайджест будет проверен, если команда restorecon
-D будет перезапущена с теми же параметрами pathname. Подробные сведения доступны в
selinux_restorecon(3).
Параметр -I позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в
pathname ... , и, при условии, что НЕ установлен параметр -n и установлен рекурсивный
режим, для файлов будут необходимым образом повторно проставлены метки, а дайджест
затем будет обновлён (если не будет ошибок).
СМОТРИТЕ ТАКЖЕ
setfiles(8), fixfiles(8), load_policy(8), checkpolicy(8), customizable_types(5)
АВТОРЫ
Эта man-страница была написана Dan Walsh <dwalsh@redhat.com>. Некоторая часть содержимого
этой man-страницы была взята из man-страницы setfiles, написанной Russell Coker
<russell@coker.com.au>. Программа была написана Dan Walsh <dwalsh@redhat.com>. Перевод
на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.
10 июня 2016 restorecon(8)