Ubuntu Manpage: setfiles - установить SELinux-контексты безопасности файлов.

Provided by: policycoreutils_3.5-2_amd64

ИМЯ

       setfiles - установить SELinux-контексты безопасности файлов.

ОБЗОР

       setfiles  [-c  policy] [-d] [-l] [-m] [-n] [-e directory] [-p] [-s] [-v] [-W] [-F] [-I|-D]
       spec_file pathname ...

ОПИСАНИЕ

       На этой странице руководства приводится описание программы setfiles.

       Эта программа используется в  основном  для  инициализации  полей  контекста  безопасности
       (расширенных  атрибутов)  в одной или нескольких файловых системах (или их частях). Обычно
       она впервые запускается как часть процесса установки  SELinux  (этап,  который  называется
       проставлением меток).

       Также  можно  запустить  её  в  любой  другой  момент, чтобы исправить некорректные метки,
       добавить поддержку для  недавно  установленной  политики  или,  используя  параметр  -n  ,
       пассивно  проверить,  соответствуют  ли  установленные  контексты  файлов  тем контекстам,
       которые указаны в активной политике (поведение  по  умолчанию)  или  в  какой-либо  другой
       политике (см. параметр -c ).

       Если объект файла не имеет контекста, setfiles запишет контекст по умолчанию в расширенные
       атрибуты объекта файла. Если объект файла имеет контекст, setfiles изменит только ту часть
       контекста  безопасности,  которая  относится  к типу.  Параметр -F позволяет принудительно
       заменить контекст целиком.

ПАРАМЕТРЫ

-c проверить действительность контекстов относительно указанной двоичной политики.

-d показать, какая спецификация соответствует каждому из файлов.

-e directory
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо
использовать соответствующее количество раз).

-f infilename
infilename содержит список файлов для обработки. Используйте “-” для stdin.

-F принудительно сбросить контекст, чтобы обеспечить соответствие file_context для
настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных
файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а
также тип).

-h, -? показать сведения об использовании и выйти.

-i игнорировать файлы, которые не существуют.

-I игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый
дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии
отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в
разделе ПРИМЕЧАНИЯ.

-D установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот
параметр, чтобы включить использование расширенного атрибута
security.restorecon_last.

-l записывать изменения меток файлов в системный журнал.

-m не выполнять чтение /proc/mounts для получения списка монтирований без seclabel,
которые следует исключить из проверок с повторным проставлением меток. Установка
этого параметра полезна при наличии смонтированной файловой системы без seclabel, в
которой в расположенном ниже каталоге смонтирована файловая система с seclabel.

-n не изменять метки файлов (пассивная проверка).

-o outfilename
этот параметр устарел и больше не поддерживается.

-p показывать ход выполнения, выводя количество обработанных файлов (единица измерения
- блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное
проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите
внимание, что параметры -p и -v являются взаимоисключающими.

-q этот параметр устарел, ранее использовался для прекращения вывода параметров
ассоциаций индексных дескрипторов (inode).

-r rootpath
использовать альтернативный корневой путь. Используется в meta-selinux для сборок
OpenEmbedded/Yocto, чтобы проставить метки для файлов в каталоге rootpath таким
образом, как если бы они были в /

-s взять список файлов из стандартного ввода, а не использовать путь из командной
строки (эквивалентно “-f -” ).

-v показать изменения меток для файлов и вывести параметры ассоциаций индексных
дескрипторов (inode). Обратите внимание, что параметры -v и -p являются
взаимоисключающими.

-W показать предупреждения о записях, для которых не обнаружены соответствующие файлы,
с помощью вывода результатов selabel_stats(3).

-0 предполагается, что разделителем для элементов ввода является символ нуля (вместо
пробела). Символы кавычек и обратной косой черты также считаются обычными
символами, которые могут формировать допустимый ввод. Этот параметр также
отключает строку конца файла (end-of-file string), она обрабатывается, как любой
другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или
обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий для
этого режима.

АРГУМЕНТЫ

       spec_file
              Файл спецификации, содержащий строки следующего вида:

              regexp [type] context | <<none>>
                     Регулярное выражение привязывается с обоих концов. Необязательное поле  type
                     указывает  тип  файла  (показывается  в  поле  режима  по  команде  ls(1) ),
                     например, -- для соответствия только обычным файлам или -d для  соответствия
                     только  каталогам.   context  может быть обычным контекстом безопасности или
                     строкой <<none>> (чтобы указать, что контекст файла не следует изменять).
                     Используется последняя соответствующая спецификация. Если  на  файл  имеется
                     несколько  жёстких ссылок, которые соответствуют разным спецификациям, и эти
                     спецификации  означают  разные  контексты   безопасности,   будет   показано
                     предупреждение,  но  для  файла  всё равно будет проставлена метка на основе
                     последней соответствующей спецификации, отличной от <<none>>.

       pathname ...
              Путь к корневому каталогу каждой  файловой  системы,  в  которой  следует  повторно
              проставить  метки,  или  конкретный каталог в файловой системе, по которому следует
              рекурсивно спуститься и повторно проставить метки, или путь к файлу,  для  которого
              следует  повторно проставить метку.  Не используется, если используется параметр -f
              или -s .

ПРИМЕЧАНИЯ

       1.  setfiles следует по символическим ссылкам и рекурсивно применяется к каталогам.

       2.  Если в pathname указан корневой каталог, установлен параметр -v  ,  а  также  запущена
           система  аудита,  в  журнал  с  меткой сообщения FS_RELABEL автоматически записывается
           событие аудита, которое содержит сообщение о том, что  произошло  "массовое  повторное
           проставление меток".

       3.  Для  повышения  производительности  при  рекурсивном  повторном  проставлении  меток в
           файловых системах  используется  параметр  -D  команды  setfiles  .   Он  обеспечивает
           сохранение дайджеста SHA1 файла спецификации spec_file в расширенном атрибуте с именем
           security.restorecon_last для каталога, указанного в соответствующем пути  pathname ...
           ,  после  успешного  завершения  повторного  проставления  меток.  Этот дайджест будет
           проверен, если команда setfiles -D будет перезапущена с теми же параметрами  spec_file
           и pathname Подробные сведения доступны в selinux_restorecon(3).

           Параметр  -I  позволяет  игнорировать  дайджест SHA1 из каждого каталога, указанного в
           pathname ...  , и, при условии, что НЕ установлен  параметр  -n  ,  для  файлов  будут
           необходимым  образом повторно проставлены метки, а дайджест затем будет обновлён (если
           не будет ошибок).

СМОТРИТЕ ТАКЖЕ

       restorecon(8), load_policy(8), checkpolicy(8)

АВТОРЫ

       Эта man-страница была  написана  Russell  Coker  <russell@coker.com.au>.   Программа  была
       написана   Stephen   Smalley  <sds@tycho.nsa.gov>.   Перевод  на  русский  язык  выполнила
       Герасименко Олеся <gammaray@basealt.ru>

                                           10 июня 2016                               setfiles(8)