Provided by: policycoreutils_3.5-2_amd64 bug

ИМЯ

       setfiles - установить SELinux-контексты безопасности файлов.

ОБЗОР

       setfiles  [-c  policy] [-d] [-l] [-m] [-n] [-e directory] [-p] [-s] [-v] [-W] [-F] [-I|-D]
       spec_file pathname ...

ОПИСАНИЕ

       На этой странице руководства приводится описание программы setfiles.

       Эта программа используется в  основном  для  инициализации  полей  контекста  безопасности
       (расширенных  атрибутов)  в одной или нескольких файловых системах (или их частях). Обычно
       она впервые запускается как часть процесса установки  SELinux  (этап,  который  называется
       проставлением меток).

       Также  можно  запустить  её  в  любой  другой  момент, чтобы исправить некорректные метки,
       добавить поддержку для  недавно  установленной  политики  или,  используя  параметр  -n  ,
       пассивно  проверить,  соответствуют  ли  установленные  контексты  файлов  тем контекстам,
       которые указаны в активной политике (поведение  по  умолчанию)  или  в  какой-либо  другой
       политике (см. параметр -c ).

       Если объект файла не имеет контекста, setfiles запишет контекст по умолчанию в расширенные
       атрибуты объекта файла. Если объект файла имеет контекст, setfiles изменит только ту часть
       контекста  безопасности,  которая  относится  к типу.  Параметр -F позволяет принудительно
       заменить контекст целиком.

ПАРАМЕТРЫ

       -c     проверить действительность контекстов относительно указанной двоичной политики.

       -d     показать, какая спецификация соответствует каждому из файлов.

       -e directory
              исключить каталог (чтобы исключить более одного каталога, этот параметр  необходимо
              использовать соответствующее количество раз).

       -f infilename
              infilename содержит список файлов для обработки. Используйте “-” для stdin.

       -F     принудительно  сбросить  контекст,  чтобы  обеспечить соответствие file_context для
              настраиваемых файлов и соответствие контексту файлов  по  умолчанию  для  остальных
              файлов  (меняются  части контекста, связанные с пользователем, ролью, диапазоном, а
              также тип).

       -h, -? показать сведения об использовании и выйти.

       -i     игнорировать файлы, которые не существуют.

       -I     игнорировать дайджест, чтобы принудительно  проверить  метки,  даже  если  хранимый
              дайджест  SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии
              отсутствия ошибок) дайджест будет обновлён. Более  подробные  сведения  доступны  в
              разделе ПРИМЕЧАНИЯ.

       -D     установить  или  обновить  дайджесты  SHA1  для  любых  каталогов. Используйте этот
              параметр,     чтобы     включить      использование      расширенного      атрибута
              security.restorecon_last.

       -l     записывать изменения меток файлов в системный журнал.

       -m     не  выполнять  чтение  /proc/mounts для получения списка монтирований без seclabel,
              которые следует исключить из проверок с повторным  проставлением  меток.  Установка
              этого параметра полезна при наличии смонтированной файловой системы без seclabel, в
              которой в расположенном ниже каталоге смонтирована файловая система с seclabel.

       -n     не изменять метки файлов (пассивная проверка).

       -o outfilename
              этот параметр устарел и больше не поддерживается.

       -p     показывать ход выполнения, выводя количество обработанных файлов (единица измерения
              -   блок  размером  1  КБ  (то  есть  1000  файлов)).  Если  выполняется  повторное
              проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите
              внимание, что параметры -p и -v являются взаимоисключающими.

       -q     этот  параметр  устарел,  ранее  использовался  для  прекращения  вывода параметров
              ассоциаций индексных дескрипторов (inode).

       -r rootpath
              использовать альтернативный корневой путь. Используется в meta-selinux  для  сборок
              OpenEmbedded/Yocto,  чтобы  проставить  метки  для файлов в каталоге rootpath таким
              образом, как если бы они были в /

       -s     взять список файлов из стандартного ввода, а  не  использовать  путь  из  командной
              строки (эквивалентно “-f -” ).

       -v     показать  изменения  меток  для  файлов  и  вывести  параметры ассоциаций индексных
              дескрипторов  (inode).   Обратите  внимание,  что  параметры  -v  и   -p   являются
              взаимоисключающими.

       -W     показать предупреждения о записях, для которых не обнаружены соответствующие файлы,
              с помощью вывода результатов selabel_stats(3).

       -0     предполагается, что разделителем для элементов ввода является символ  нуля  (вместо
              пробела).   Символы  кавычек  и  обратной  косой  черты  также  считаются  обычными
              символами,  которые  могут  формировать  допустимый  ввод.   Этот  параметр   также
              отключает  строку  конца  файла (end-of-file string), она обрабатывается, как любой
              другой аргумент. Это полезно, если элементы ввода  содержат  пробелы,  кавычки  или
              обратные  косые  черты.  Параметр  -print0 GNU find производит ввод, подходящий для
              этого режима.

АРГУМЕНТЫ

       spec_file
              Файл спецификации, содержащий строки следующего вида:

              regexp [type] context | <<none>>
                     Регулярное выражение привязывается с обоих концов. Необязательное поле  type
                     указывает  тип  файла  (показывается  в  поле  режима  по  команде  ls(1) ),
                     например, -- для соответствия только обычным файлам или -d для  соответствия
                     только  каталогам.   context  может быть обычным контекстом безопасности или
                     строкой <<none>> (чтобы указать, что контекст файла не следует изменять).
                     Используется последняя соответствующая спецификация. Если  на  файл  имеется
                     несколько  жёстких ссылок, которые соответствуют разным спецификациям, и эти
                     спецификации  означают  разные  контексты   безопасности,   будет   показано
                     предупреждение,  но  для  файла  всё равно будет проставлена метка на основе
                     последней соответствующей спецификации, отличной от <<none>>.

       pathname ...
              Путь к корневому каталогу каждой  файловой  системы,  в  которой  следует  повторно
              проставить  метки,  или  конкретный каталог в файловой системе, по которому следует
              рекурсивно спуститься и повторно проставить метки, или путь к файлу,  для  которого
              следует  повторно проставить метку.  Не используется, если используется параметр -f
              или -s .

ПРИМЕЧАНИЯ

       1.  setfiles следует по символическим ссылкам и рекурсивно применяется к каталогам.

       2.  Если в pathname указан корневой каталог, установлен параметр -v  ,  а  также  запущена
           система  аудита,  в  журнал  с  меткой сообщения FS_RELABEL автоматически записывается
           событие аудита, которое содержит сообщение о том, что  произошло  "массовое  повторное
           проставление меток".

       3.  Для  повышения  производительности  при  рекурсивном  повторном  проставлении  меток в
           файловых системах  используется  параметр  -D  команды  setfiles  .   Он  обеспечивает
           сохранение дайджеста SHA1 файла спецификации spec_file в расширенном атрибуте с именем
           security.restorecon_last для каталога, указанного в соответствующем пути  pathname ...
           ,  после  успешного  завершения  повторного  проставления  меток.  Этот дайджест будет
           проверен, если команда setfiles -D будет перезапущена с теми же параметрами  spec_file
           и pathname Подробные сведения доступны в selinux_restorecon(3).

           Параметр  -I  позволяет  игнорировать  дайджест SHA1 из каждого каталога, указанного в
           pathname ...  , и, при условии, что НЕ установлен  параметр  -n  ,  для  файлов  будут
           необходимым  образом повторно проставлены метки, а дайджест затем будет обновлён (если
           не будет ошибок).

СМОТРИТЕ ТАКЖЕ

       restorecon(8), load_policy(8), checkpolicy(8)

АВТОРЫ

       Эта man-страница была  написана  Russell  Coker  <russell@coker.com.au>.   Программа  была
       написана   Stephen   Smalley  <sds@tycho.nsa.gov>.   Перевод  на  русский  язык  выполнила
       Герасименко Олеся <gammaray@basealt.ru>

                                           10 июня 2016                               setfiles(8)