.TH  "ftpd_selinux"  "8"  "17 Янв 2005" "dwalsh@redhat.com" "ftpd Selinux Policy documentation"

.SH "НАЗВАНИЕ"

ftpd_selinux \- Политика Security Enhanced Linux для демона ftp

.SH "ОПИСАНИЕ"

Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа. 

.SH КОНТЕКСТ ФАЙЛОВ

SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. 

Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный

доступ к файлам, вы должны присвоить  этим файлам и директориям контекст public_content_t.

Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить  контекст для этой директории при помощи утилиты chcon.

.TP

chcon -R -t public_content_t /var/ftp

.TP

Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны

установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.

.TP

chcon -t public_content_rw_t /var/ftp/incoming

.TP

Вы также должны включить переключатель allow_ftpd_anon_write.

.TP

setsebool -P allow_ftpd_anon_write=1

.TP

Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся

при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.

.TP

/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local

.br

/var/ftp(/.*)? system_u:object_r:public_content_t

/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t

.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)

Политика SELinux для демона ftp настроена исходя из принципа наименьших привелегий. Таким

образом, по умолчанию политика SELinux не позволяет пользователям заходить на сервер и 

читать содержимое их домашних директорий.

.br

Если вы настраиваете данную машину как ftpd-сервер и хотите, чтобы пользователи могли получать 

доступ к своим домашним директориям, то вам необходимо установить переключатель ftp_home_dir.

.TP

setsebool -P ftp_home_dir 1

.TP

ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы 

хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon.

.TP

setsebool -P ftpd_is_daemon 1

.br

service vsftpd restart

.TP

Для управления настройками SELinux существует графическая утилита system-config-selinux.

.SH АВТОРЫ	

Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.

Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.

.SH "СМОТРИ ТАКЖЕ"

selinux(8), ftpd(8), chcon(1), setsebool(8)