Ubuntu Manpage: setfiles - установить SELinux-контексты безопасности файлов.

Provided by: policycoreutils_3.0-1_amd64

ИМЯ

       setfiles - установить SELinux-контексты безопасности файлов.

ОБЗОР

       setfiles  [-c  policy] [-d] [-l] [-m] [-n] [-e directory] [-p] [-s] [-v] [-W] [-F] [-I|-D]
       spec_file pathname ...

ОПИСАНИЕ

       На этой странице руководства приводится описание программы setfiles.

       Эта программа используется в  основном  для  инициализации  полей  контекста  безопасности
       (расширенных  атрибутов)  в одной или нескольких файловых системах (или их частях). Обычно
       она впервые запускается как часть процесса установки  SELinux  (этап,  который  называется
       проставлением меток).

       Также  можно  запустить  её  в  любой  другой  момент, чтобы исправить некорректные метки,
       добавить поддержку для  недавно  установленной  политики  или,  используя  параметр  -n  ,
       пассивно  проверить,  соответствуют  ли  установленные  контексты  файлов  тем контекстам,
       которые указаны в активной политике (поведение  по  умолчанию)  или  в  какой-либо  другой
       политике (см. параметр -c ).

       Если объект файла не имеет контекста, setfiles запишет контекст по умолчанию в расширенные
       атрибуты объекта файла. Если объект файла имеет контекст, setfiles изменит только ту часть
       контекста  безопасности,  которая  относится  к типу.  Параметр -F позволяет принудительно
       заменить контекст целиком.

ПАРАМЕТРЫ

-c проверить действительность контекстов относительно указанной двоичной политики.

-d показать, какая спецификация соответствует каждому из файлов (не прекращать
проверку после получения ошибок ABORT_ON_ERRORS).

-e directory
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо
использовать соответствующее количество раз).

-f infilename
infilename содержит список файлов для обработки. Используйте “-” для stdin.

-F принудительно сбросить контекст, чтобы обеспечить соответствие file_context для
настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных
файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а
также тип).

-h, -? показать сведения об использовании и выйти.

-i игнорировать файлы, которые не существуют.

-I игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый
дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии
отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в
разделе ПРИМЕЧАНИЯ.

-D установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот
параметр, чтобы включить использование расширенного атрибута
security.restorecon_last.

-l записывать изменения меток файлов в системный журнал.

-m не выполнять чтение /proc/mounts для получения списка монтирований без seclabel,
которые следует исключить из проверок с повторным проставлением меток. Установка
этого параметра полезна при наличии смонтированной файловой системы без seclabel, в
которой в расположенном ниже каталоге смонтирована файловая система с seclabel.

-n не изменять метки файлов (пассивная проверка).

-o outfilename
этот параметр устарел и больше не поддерживается.

-p показывать ход выполнения, выводя количество обработанных файлов (единица измерения
- блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное
проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите
внимание, что параметры -p и -v являются взаимоисключающими.

-q этот параметр устарел, ранее использовался для прекращения вывода параметров
ассоциаций индексных дескрипторов (inode).

-r rootpath
использовать альтернативный корневой путь. Используется в meta-selinux для сборок
OpenEmbedded/Yocto, чтобы проставить метки для файлов в каталоге rootpath таким
образом, как если бы они были в /

-s взять список файлов из стандартного ввода, а не использовать путь из командной
строки (эквивалентно “-f -” ).

-v показать изменения меток для файлов и вывести параметры ассоциаций индексных
дескрипторов (inode). Обратите внимание, что параметры -v и -p являются
взаимоисключающими.

-W показать предупреждения о записях, для которых не обнаружены соответствующие файлы,
с помощью вывода результатов selabel_stats(3).

-0 предполагается, что разделителем для элементов ввода является символ нуля (вместо
пробела). Символы кавычек и обратной косой черты также считаются обычными
символами, которые могут формировать допустимый ввод. Этот параметр также
отключает строку конца файла (end-of-file string), она обрабатывается, как любой
другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или
обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий для
этого режима.

АРГУМЕНТЫ

       spec_file
              Файл спецификации, содержащий строки следующего вида:

              regexp [type] context | <<none>>
                     Регулярное  выражение привязывается с обоих концов. Необязательное поле type
                     указывает тип  файла  (показывается  в  поле  режима  по  команде  ls(1)  ),
                     например,  -- для соответствия только обычным файлам или -d для соответствия
                     только каталогам.  context может быть обычным  контекстом  безопасности  или
                     строкой <<none>> (чтобы указать, что контекст файла не следует изменять).
                     Используется  последняя  соответствующая  спецификация. Если на файл имеется
                     несколько жёстких ссылок, которые соответствуют разным спецификациям, и  эти
                     спецификации   означают   разные   контексты  безопасности,  будет  показано
                     предупреждение, но для файла всё равно будет  проставлена  метка  на  основе
                     последней соответствующей спецификации, отличной от <<none>>.

       pathname ...
              Путь  к  корневому  каталогу  каждой  файловой  системы, в которой следует повторно
              проставить метки, или конкретный каталог в файловой системе,  по  которому  следует
              рекурсивно  спуститься  и повторно проставить метки, или путь к файлу, для которого
              следует повторно проставить метку.  Не используется, если используется параметр  -f
              или -s .

ПРИМЕЧАНИЯ

       1.  setfiles следует по символическим ссылкам и рекурсивно применяется к каталогам.

       2.  Если  в  pathname  указан  корневой каталог, установлен параметр -v , а также запущена
           система аудита, в журнал с  меткой  сообщения  FS_RELABEL  автоматически  записывается
           событие  аудита,  которое  содержит сообщение о том, что произошло "массовое повторное
           проставление меток".

       3.  Для повышения  производительности  при  рекурсивном  повторном  проставлении  меток  в
           файловых  системах  используется  параметр  -D  команды  setfiles  .   Он обеспечивает
           сохранение дайджеста SHA1 файла спецификации spec_file в расширенном атрибуте с именем
           security.restorecon_last  для каталога, указанного в соответствующем пути pathname ...
           , после успешного  завершения  повторного  проставления  меток.  Этот  дайджест  будет
           проверен,  если команда setfiles -D будет перезапущена с теми же параметрами spec_file
           и pathname Подробные сведения доступны в selinux_restorecon(3).

           Параметр -I позволяет игнорировать дайджест SHA1 из  каждого  каталога,  указанного  в
           pathname ...   ,  и,  при  условии,  что  НЕ установлен параметр -n , для файлов будут
           необходимым образом повторно проставлены метки, а дайджест затем будет обновлён  (если
           не будет ошибок).

СМОТРИТЕ ТАКЖЕ

       restorecon(8), load_policy(8), checkpolicy(8)

АВТОРЫ

       Эта  man-страница  была  написана  Russell  Coker  <russell@coker.com.au>.  Программа была
       написана  Stephen  Smalley  <sds@tycho.nsa.gov>.   Перевод  на  русский   язык   выполнила
       Герасименко Олеся <gammaray@basealt.ru>

                                           10 июня 2016                               setfiles(8)