Provided by: policycoreutils-python-utils_3.0-1build1_all bug

ИМЯ
       sandbox - выполнить приложение cmd в изолированной среде SELinux


ОБЗОР
       sandbox  [-C]  [-s]  [  -d  DPI  ]  [-l  level  ]  [[-M | -X]  -H homedir -T tempdir ] [-I
       includefile ] [ -W windowmanager ] [ -w windowsize ] [[-i file ]...] [ -t type ] cmd

       sandbox [-C] [-s] [ -d DPI ] [-l level  ]  [[-M  |  -X]   -H  homedir  -T  tempdir  ]  [-I
       includefile ] [ -W windowmanager ] [ -w windowsize ] [[-i file ]...] [ -t type ] -S


ОПИСАНИЕ
       Выполнить  приложение  cmd  в  строго  ограниченном  домене SELinux. По умолчанию в домене
       изолированной среды приложения могут только читать и  записывать  stdin,  stdout  и  любые
       другие  передаваемые  дескрипторы  файлов.  Открывать  другие  файлы  нельзя.  Параметр -M
       позволяет смонтировать альтернативные домашний каталог и временный каталог, которые  будут
       использоваться изолированной средой.

       Если  установлен  пакет policycoreutils-sandbox, можно использовать параметр -X и параметр
       -M.  sandbox -X позволяет запускать приложения X в  изолированной  среде.  Эти  приложения
       запускаются  на своём собственном X-сервере и создают временные домашний каталог и каталог
       /tmp. Политика SELinux по умолчанию не  разрешает  использовать  какие-либо  средства  для
       управления  привилегиями  или осуществлять доступ к сети. Она также предотвращает доступ к
       другим процессам и файлам пользователей. Указанные в команде файлы,  которые  находятся  в
       домашнем каталоге или каталоге /tmp, будут скопированы в каталоги изолированной среды.

       Если  каталоги  указаны  с  параметром -H или -T, их контекст будет изменён chcon(1) (если
       только с помощью параметра -l  не  указан  уровень).  Если  уровень  безопасности  MLS/MCS
       указан, пользователь должен установить правильные метки.

       -h --help
              Показать сведения об использовании

       -H --homedir
              Указать  альтернативный  домашний  каталог для монтирования вместо вашего домашнего
              каталога. По умолчанию используется временный каталог. Требуется -X или -M.

       -i --include
              Копировать этот файл  в  соответствующий  временный  каталог  изолированной  среды.
              Команду можно повторять.

       -I --includefile
              Копировать все файлы, перечисленные во входном файле (inputfile), в соответствующие
              временные каталоги изолированной среды.

       -l --level
              Указать уровень безопасности MLS/MCS, с  которым  следует  запускать  изолированную
              среду. По умолчанию используется случайное значение.

       -M --mount
              Создать изолированную среду с временными файлами для $HOME и /tmp.

       -s --shred
              Уничтожить временные файлы, созданные в $HOME в /tmp, перед удалением.

       -t --type
              Использовать  альтернативный  тип  изолированной среды. По умолчанию: sandbox_t или
              sandbox_x_t для -X.

              Примеры:
              sandbox_t -    без X, без доступа к сети, без открытия, чтение/запись передаются  в
              дескрипторах файлов.
              sandbox_min_t  -    без доступа к сети
              sandbox_x_t    -    порты для X-приложений, которые следует запустить локально
              sandbox_web_t  -    порты, необходимые для работы в Интернете
              sandbox_net_t  -         сетевые порты (для серверного ПО)
              sandbox_net_client_t     -    все сетевые порты

       -T --tmpdir
              Использовать   альтернативный   временный  каталог  для  монтирования  в  /tmp.  По
              умолчанию: tmpfs. Требуется -X или -M.

       -S --session
              Запустить полный сеанс  рабочего  стола.  Требуется  уровень,  домашний  каталог  и
              временный каталог.

       -w --windowsize
              Указать  размер  окна  при  создании изолированной среды на основе X. По умолчанию:
              1000x700.

       -W --windowmanager
              Выбрать альтернативный диспетчер окон для запуска  в  sandbox  -X.   По  умолчанию:
              /usr/bin/openbox.

       -X     Создать  изолированную  среду  на  основе  X для приложений графического интерфейса
              пользователя, временные  файлы  для  $HOME  и  /tmp,  дополнительный  X-сервер.  По
              умолчанию: sandbox_x_t

       -d --dpi
              Указать  значение  разрешения (DPI) для X-сервера изолированной среды. По умолчанию
              используется значение разрешения текущего X-сервера.

       -C --capabilities
              Использовать средства для управления привилегиями внутри  изолированной  среды.  По
              умолчанию   приложениям,  которые  выполняются  в  изолированной  среде,  запрещено
              использовать средства для управления привилегиями (setuid apps),  но  с  флагом  -C
              можно   использовать   программы,   которым   необходимы  средства  для  управления
              привилегиями.


СМОТРИТЕ ТАКЖЕ
       runcon(1), seunshare(8), selinux(8)


АВТОРЫ
       Эта страница  руководства  была  написана  Dan  Walsh  <dwalsh@redhat.com>  и  Thomas  Liu
       <tliu@fedoraproject.org>.    Перевод   на   русский   язык   выполнила  Герасименко  Олеся
       <gammaray@basealt.ru>.