[Vuoi provare Red Hat Enterprise Linux? Scaricalo ora gratuitamente.]
Ci sono molte eccellenti pagine man per i domini confinati inclusi con la politica di SELinux. Queste pagine man descrivono i booleani e i tipi di contesto per ogni dominio. Includono anche semanage di esempio comandi per aggiungere mappature del contesto, modificare i valori booleani e altro.
Sfortunatamente per l'amministratore di sistema che inizia con la configurazione di SELinux, queste pagine man spesso non sono installate per impostazione predefinita. Le pagine man della politica di SELinux sono disponibili da due posizioni. Il repository della politica di riferimento a monte ha una manciata di pagine man predefinite. Il resto può essere generato dal contenuto delle norme con uno strumento disponibile in policycoreutils-devel pacchetto.
Installa da un pacchetto di distribuzione
Alcune distribuzioni pregenerano le pagine man e le impacchettano per rendere la documentazione facile da aggiungere al tuo sistema. Fedora, CentOS e Red Hat Enterprise Linux 8 includono tutti un selinux-policy-doc.noarch pacchetto nei loro repository di base. Questo pacchetto non è installato per impostazione predefinita, ma è facile da aggiungere con un yum o dnf comando:
$ sudo yum install selinux-policy-doc.noarch
Anche Red Hat Enterprise Linux 7 ha questo pacchetto, ma è nel repository "Opzionale" che non è abilitato per impostazione predefinita. Abilita il repository in modo permanente con subscription-manager :
$ sudo subscription-manager repo --enable=rhel-7-server-optional-rpms oppure aggiungi temporaneamente il repository durante l'installazione:
$ sudo yum --enablerepo=rhel-7-server-optional-rpms install selinux-policy-doc.noarch Ora che la documentazione del dominio SELinux è disponibile, cerca le pagine rilevanti con:
$ man -k _selinux Nota: Dopo aver installato il pacchetto docs potrebbe essere necessario aggiornare anche la cache dell'indice della pagina man prima di vedere i risultati della ricerca:
$ sudo mandb
Genera pagine man dalla norma
Se il pacchetto docs non è disponibile, o se vuoi generare solo una pagina man per un dominio specifico, puoi anche creare le pagine man dalla policy. Per prima cosa, installa devel pacchetti e loro dipendenze:
$ sudo yum install policycoreutils-devel
Quindi, usa la sepolicy comando per generare una pagina man specifica specificando il tipo di dominio (il tipo di contesto SELinux associato al processo in esecuzione che viene contenuto). Ad esempio:
$ sepolicy manpage -d httpd_t
La pagina man risultante verrà generata nel /tmp directory e può essere visualizzato per nome:
$ man /tmp/httpd_selinux.8
Ci sono opzioni per la sepolicy manpage comando per sovrascrivere la posizione di output (--path ), genera una versione html (--web ) o genera tutto (--all ) pagine. Per vedere queste e altre opzioni, usa:
$ man sepolicy-manpage
Finché un utente ha i privilegi di scrittura nel percorso di output, può generare e visualizzare una pagina man.
Anteprima la magia di queste pagine man
Le pagine man di SELinux per i tipi di dominio hanno tutte un layout comune. Come con qualsiasi set di pagine man, più pagine man leggi, più facile sarà scansionare o leggere velocemente quella successiva.
Ogni pagina man inizia con i campi NOME e DESCRIZIONE previsti di qualsiasi pagina man. Le pagine man del dominio SELinux includono poi le sezioni ENTRYPOINTS e PROCESS TYPES. (Gli entrypoint sono i tipi assegnati ai file eseguibili, che una volta avviati come demoni passano ai tipi di processo confinati.)
Tuttavia, non tutti i tipi di processo sono demoni, alcuni potrebbero essere eseguibili interattivi. Ad esempio, sshd_exec_t è un punto di ingresso che passa a sshd_t tipo di processo. Inoltre, sshd_t , ssh_t e ssh_keygen_t e sono anche esempi di tipi di processo.
I tipi di processo sono noti anche come tipi di dominio e sono i tipi che possono essere posti in modalità permissiva con il semanage comando.
Dopo ogni punto di ingresso e sezione del tipo di processo, la pagina man del dominio SELinux ha sezioni per qualsiasi BOOLEAN, TIPO DI PORTA, FILE GESTITI e CONTESTO DI FILE che si applica a quel dominio. Queste sezioni definiscono le parole chiave e forniscono esempi per le modifiche che possono essere apportate con il semanage comando. L'abilitazione di un valore booleano consente un set di regole diverso per diversi casi d'uso. Le modifiche al contesto di file e porte consentono di configurare un sistema in modo che contenga i dati in una posizione non predefinita o venga eseguito su una porta non predefinita.
Ogni pagina man termina con un elenco di COMANDI a cui si fa riferimento nella pagina man e nelle sezioni AUTORE e VEDI ANCHE della pagina man tradizionale.
Inizia a esplorare
Con il targeted norma, il httpd La pagina del dominio è probabilmente la più lunga, poiché quel dominio ha il maggior numero di booleani e tipi di file da descrivere. È stato anche uno dei primi domini confinati nella storia del targeted di SELinux politica.
Inizia con un dominio che ti è familiare come sshd , httpd o ntpd . Quindi cerca i domini rilevanti per il tuo ambiente. Dopo aver installato selinux-docs pacchetto, ho oltre 850 pagine man da esplorare sul mio sistema!
E ricorda, continua a far rispettare SELinux! (Ecco come.)