ИМЯ

       sepolicy-generate - создать исходный шаблон модуля политики SELinux.

ОБЗОР

       Общие параметры

       sepolicy generate [-h ] [-p PATH]

       Ограниченные приложения

       sepolicy generate --application [-n NAME] [-u USER ]command [-w WRITE_PATH ]
       sepolicy generate --cgi [-n NAME] command [-w WRITE_PATH ]
       sepolicy generate --dbus [-n NAME] command [-w WRITE_PATH ]
       sepolicy generate --inetd [-n NAME] command [-w WRITE_PATH ]
       sepolicy generate --init [-n NAME] command [-w WRITE_PATH ]

       Ограниченные пользователи

       sepolicy generate --admin_user [-r TRANSITION_ROLE] -n NAME
       sepolicy generate --confined_admin -n NAME [-a ADMIN_DOMAIN] [-u USER] [-n NAME] [-w WRITE_PATH]
       sepolicy generate --desktop_user -n NAME [-w WRITE_PATH]
       sepolicy generate --term_user -n NAME [-w WRITE_PATH]
       sepolicy generate --x_user -n NAME [-w WRITE_PATH]

       Разное

       sepolicy generate --customize -d DOMAIN -n NAME [-a ADMIN_DOMAIN]
       sepolicy generate --newtype -t type -n NAME
       sepolicy generate --sandbox -n NAME

ОПИСАНИЕ

       Используйте команду sepolicy generate для создания модуля политики SELinux.

       sepolicy generate создаст 5 файлов.

       При  указании  confined application необходимо указать путь. Команда sepolicy generate будет использовать
       полезную нагрузку rpm-пакета приложения вместе с nm -D APPLICATION, чтобы создать типы и правила политики
       для ваших файлов политики.

       Файл принудительного назначения типов NAME.te
       Этот файл можно использовать, чтобы определить для конкретного домена все правила типов.

       Примечание: Политика, созданная с помощью команды sepolicy generate, автоматически добавит разрешительный
       домен (DOMAIN) в ваш файл .te. Когда вы закончите настройку  политики,  из  файла  .te  будет  необходимо
       удалить разрешительную строку, чтобы запустить домен в принудительном режиме.

       Файл интерфейсов NAME.if
       Этот  файл  определяет  интерфейсы  для созданных в файле .te типов, которые могут использоваться другими
       доменами политики.

       Контексты файлов NAME.fc
       Этот файл определяет контексты файлов по умолчанию для системы; он берёт типы файлов, созданные  в  файле
       .te,  и связывает пути файлов с этими типами. Такие утилиты, как restorecon и RPM, будут использовать эти
       пути для проставления меток.

       Файл спецификации RPM NAME_selinux.spec
       Этот файл - файл СПЕЦИФИКАЦИИ, который можно использовать для установки политики SELinux на компьютеры  и
       настройки  проставления  меток.  Файл  спецификации также устанавливает файл интерфейсов и man-страницу с
       описанием политики. Для создания man-страницы можно использовать команду sepolicy manpage -d NAME.

       Файл оболочки NAME.sh
       Это вспомогательный сценарий оболочки для компиляции, установки и исправления меток в  тестовой  системе.
       Он  также  создаёт  man-страницу  на  основе  установленной политики, компилирует и собирает RPM, который
       подходит для установки на других компьютерах.

       Если создание возможно, эта утилита выведет на экран все пути создания  из  исходного  домена  в  целевой
       домен

ПАРАМЕТРЫ

       -h, --help
              Показать справочное сообщение

       -d, --domain
              Ввести тип домена, который будет расширен

       -n, --name
              Указать альтернативное имя политики. По умолчанию: указанный исполняемый файл или имя.

       -p, --path
              Указать  каталог  для сохранения созданных файлов политики. По умолчанию: текущий рабочий каталог.
              Необязательные аргументы:

       -r, --role
              Ввести роль (роли), в которую перейдёт этот администратор

       -t, --type
              Ввести тип (типы), для которого создаётся новое определение и правило (правила)

       -u, --user
              Пользователь (пользователи) SELinux, который перейдёт в этот домен

       -w, --writepath
              Путь (пути), который требуется для записи ограниченным процессам

       -a, --admin
              Домен (домены), который будет администрировать ограниченный администратор

       --admin_user
              Создать политику для роли авторизации администратора

       --application
              Создать политику для приложения пользователя

       --cgi  Создать политику для веб-приложения/сценария (CGI)

       --confined_admin
              Создать политику для роли ограниченного администратора root

       --customize
              Создать политику для типа существующего домена

       --dbus Создать политику для системной внутренней службы DBUS

       --desktop_user
              Создать политику для роли авторизации на рабочем столе

       --inetd
              Создать политику для внутренней службы Интернет-служб

       --init Создать политику для стандартной внутренней службы init (по умолчанию)

       --newtype
              Создать политику для новых типов, которые будут добавлены в существующую политику.

       --sandbox
              Создать политику для изолированной среды

       --term_user
              Создать политику для минимальной роли авторизации пользователя терминала

       --x_user
              Создать политику для минимальной роли авторизации пользователя X Windows

ПРИМЕР

       > sepolicy generate --init /usr/sbin/rwhod
       Создание политики для /usr/sbin/rwhod с именем rwhod
       Созданы следующие файлы:
       rwhod.te # файл принудительного присвоения типов
       rwhod.if # файл интерфейсов
       rwhod.fc # файл контекстов файлов
       rwhod_selinux.spec # файл спецификации
       rwhod.sh # сценарий настройки

СМОТРИТЕ ТАКЖЕ

       sepolicy(8), selinux(8)

АВТОРЫ

       Эта man-страница была написана Daniel Walsh  <dwalsh@redhat.com>.   Перевод  на  русский  язык  выполнила
       Герасименко Олеся <gammaray@basealt.ru>.

                                                    20121005                                sepolicy-generate(8)