ИМЯ

       sepolicy-generate - создать исходный шаблон модуля политики SELinux.

ОБЗОР

       Общие параметры

       sepolicy generate [-h ] [-p PATH]

       Ограниченные приложения

       sepolicy generate --application [-n NAME] [-u USER ]command [-w WRITE_PATH ]
       sepolicy generate --cgi [-n NAME] command [-w WRITE_PATH ]
       sepolicy generate --dbus [-n NAME] command [-w WRITE_PATH ]
       sepolicy generate --inetd [-n NAME] command [-w WRITE_PATH ]
       sepolicy generate --init [-n NAME] command [-w WRITE_PATH ]

       Ограниченные пользователи

       sepolicy generate --admin_user [-r TRANSITION_ROLE] -n NAME
       sepolicy  generate  --confined_admin  -n  NAME  [-a  ADMIN_DOMAIN] [-u USER] [-n NAME] [-w
       WRITE_PATH]
       sepolicy generate --desktop_user -n NAME [-w WRITE_PATH]
       sepolicy generate --term_user -n NAME [-w WRITE_PATH]
       sepolicy generate --x_user -n NAME [-w WRITE_PATH]

       Разное

       sepolicy generate --customize -d DOMAIN -n NAME [-a ADMIN_DOMAIN]
       sepolicy generate --newtype -t type -n NAME
       sepolicy generate --sandbox -n NAME

ОПИСАНИЕ

       Используйте команду sepolicy generate для создания модуля политики SELinux.

       sepolicy generate создаст 5 файлов.

       При указании confined application необходимо указать путь. Команда sepolicy generate будет
       использовать  полезную  нагрузку  rpm-пакета  приложения вместе с nm -D APPLICATION, чтобы
       создать типы и правила политики для ваших файлов политики.

       Файл принудительного назначения типов NAME.te
       Этот файл можно использовать, чтобы определить для конкретного домена все правила типов.

       Примечание: Политика, созданная с помощью команды sepolicy generate, автоматически добавит
       разрешительный  домен  (DOMAIN)  в ваш файл .te. Когда вы закончите настройку политики, из
       файла .te  будет  необходимо  удалить  разрешительную  строку,  чтобы  запустить  домен  в
       принудительном режиме.

       Файл интерфейсов NAME.if
       Этот   файл  определяет  интерфейсы  для  созданных  в  файле  .te  типов,  которые  могут
       использоваться другими доменами политики.

       Контексты файлов NAME.fc
       Этот файл определяет контексты файлов по умолчанию для  системы;  он  берёт  типы  файлов,
       созданные  в  файле  .te,  и  связывает  пути  файлов  с  этими типами. Такие утилиты, как
       restorecon и RPM, будут использовать эти пути для проставления меток.

       Файл спецификации RPM NAME_selinux.spec
       Этот файл - файл СПЕЦИФИКАЦИИ, который можно использовать для установки  политики  SELinux
       на  компьютеры  и настройки проставления меток. Файл спецификации также устанавливает файл
       интерфейсов  и  man-страницу  с  описанием  политики.  Для  создания  man-страницы   можно
       использовать команду sepolicy manpage -d NAME.

       Файл оболочки NAME.sh
       Это  вспомогательный  сценарий  оболочки  для  компиляции, установки и исправления меток в
       тестовой  системе.  Он  также  создаёт  man-страницу  на  основе  установленной  политики,
       компилирует и собирает RPM, который подходит для установки на других компьютерах.

       Если создание возможно, эта утилита выведет на экран все пути создания из исходного домена
       в целевой домен

ПАРАМЕТРЫ

       -h, --help
              Показать справочное сообщение

       -d, --domain
              Ввести тип домена, который будет расширен

       -n, --name
              Указать альтернативное имя политики. По умолчанию: указанный исполняемый  файл  или
              имя.

       -p, --path
              Указать  каталог  для  сохранения  созданных файлов политики. По умолчанию: текущий
              рабочий каталог.  Необязательные аргументы:

       -r, --role
              Ввести роль (роли), в которую перейдёт этот администратор

       -t, --type
              Ввести тип (типы), для которого создаётся новое определение и правило (правила)

       -u, --user
              Пользователь (пользователи) SELinux, который перейдёт в этот домен

       -w, --writepath
              Путь (пути), который требуется для записи ограниченным процессам

       -a, --admin
              Домен (домены), который будет администрировать ограниченный администратор

       --admin_user
              Создать политику для роли авторизации администратора

       --application
              Создать политику для приложения пользователя

       --cgi  Создать политику для веб-приложения/сценария (CGI)

       --confined_admin
              Создать политику для роли ограниченного администратора root

       --customize
              Создать политику для типа существующего домена

       --dbus Создать политику для системной внутренней службы DBUS

       --desktop_user
              Создать политику для роли авторизации на рабочем столе

       --inetd
              Создать политику для внутренней службы Интернет-служб

       --init Создать политику для стандартной внутренней службы init (по умолчанию)

       --newtype
              Создать политику для новых типов, которые будут добавлены в существующую политику.

       --sandbox
              Создать политику для изолированной среды

       --term_user
              Создать политику для минимальной роли авторизации пользователя терминала

       --x_user
              Создать политику для минимальной роли авторизации пользователя X Windows

ПРИМЕР

       > sepolicy generate --init /usr/sbin/rwhod
       Создание политики для /usr/sbin/rwhod с именем rwhod
       Созданы следующие файлы:
       rwhod.te # файл принудительного присвоения типов
       rwhod.if # файл интерфейсов
       rwhod.fc # файл контекстов файлов
       rwhod_selinux.spec # файл спецификации
       rwhod.sh # сценарий настройки

СМОТРИТЕ ТАКЖЕ

       sepolicy(8), selinux(8)

АВТОРЫ

       Эта man-страница была написана Daniel Walsh <dwalsh@redhat.com>.  Перевод на русский  язык
       выполнила Герасименко Олеся <gammaray@basealt.ru>.

                                             20121005                        sepolicy-generate(8)