diff --git a/genman.py b/genman.py deleted file mode 100755 index f4c920d..0000000 --- a/genman.py +++ /dev/null @@ -1,450 +0,0 @@ -#! /usr/bin/python -Es -# Copyright (C) 2012 Red Hat -# AUTHOR: Dan Walsh -# see file 'COPYING' for use and warranty information -# -# semanage is a tool for managing SELinux configuration files -# -# This program is free software; you can redistribute it and/or -# modify it under the terms of the GNU General Public License as -# published by the Free Software Foundation; either version 2 of -# the License, or (at your option) any later version. -# -# This program is distributed in the hope that it will be useful, -# but WITHOUT ANY WARRANTY; without even the implied warranty of -# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the -# GNU General Public License for more details. -# -# You should have received a copy of the GNU General Public License -# along with this program; if not, write to the Free Software -# Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA -# 02111-1307 USA -# -# -import seobject -import selinux -import datetime -import setools -import sys - -all_attributes = map(lambda x: x['name'], setools.seinfo(setools.ATTRIBUTE)) -entrypoints = setools.seinfo(setools.ATTRIBUTE,"entry_type")[0]["types"] -alldomains = setools.seinfo(setools.ATTRIBUTE,"domain")[0]["types"] -domains = [] - -for d in alldomains: - found = False - if d[:-2] + "_exec_t" not in entrypoints: - continue - name = d.split("_")[0] - if name in domains or name == "pam": - continue - domains.append(name) - -domains.sort() - -file_types = setools.seinfo(setools.ATTRIBUTE,"file_type")[0]["types"] -file_types.sort() - -port_types = setools.seinfo(setools.ATTRIBUTE,"port_type")[0]["types"] -port_types.sort() - -portrecs = seobject.portRecords().get_all_by_type() -filerecs = seobject.fcontextRecords() -files_dict = {} -fdict = filerecs.get_all() -for i in fdict: - if fdict[i]: - if fdict[i][2] in files_dict: - files_dict[fdict[i][2]].append(i) - else: - files_dict[fdict[i][2]] = [i] -boolrecs = seobject.booleanRecords() -bools = seobject.booleans_dict.keys() - -man = {} -date = datetime.datetime.now().strftime("%d %b %Y") -def prettyprint(f,trim): - return " ".join(f[:-len(trim)].split("_")) - -class ManPage: - def __init__(self, domainname, path="/tmp"): - self.domainname = domainname - if self.domainname[-1]=='d': - self.short_name = self.domainname[:-1] - else: - self.short_name = domainname - - self.anon_list = [] - self.fd = open("%s/%s_selinux.8" % (path, domainname), 'w') - - self.attributes = {} - self.ptypes = [] - self.get_ptypes() - - for domain_type in self.ptypes: - self.attributes[domain_type] = setools.seinfo(setools.TYPE,("%s") % domain_type)[0]["attributes"] - - self.header() - self.booleans() - self.nsswitch_domain() - self.public_content() - self.file_context() - self.port_types() - self.process_types() - self.footer() - self.fd.close() - - def get_ptypes(self): - for f in alldomains: - if f.startswith(self.short_name): - self.ptypes.append(f) - - def header(self): - self.fd.write('.TH "%(domainname)s_selinux" "8" "%(domainname)s" "dwalsh@redhat.com" "%(domainname)s SELinux Policy documentation"' - % {'domainname':self.domainname}) - self.fd.write(r""" -.SH "NAME" -%(domainname)s_selinux \- Security Enhanced Linux Policy for the %(domainname)s processes -.SH "DESCRIPTION" - -Security-Enhanced Linux secures the %(domainname)s processes via flexible mandatory access -control. -""" % {'domainname':self.domainname}) - - - def explain(self, f): - if f.endswith("_var_run_t"): - return "store the %s files under the /run directory." % prettyprint(f, "_var_run_t") - if f.endswith("_pid_t"): - return "store the %s files under the /run directory." % prettyprint(f, "_pid_t") - if f.endswith("_var_lib_t"): - return "store the %s files under the /var/lib directory." % prettyprint(f, "_var_lib_t") - if f.endswith("_var_t"): - return "store the %s files under the /var directory." % prettyprint(f, "_var_lib_t") - if f.endswith("_var_spool_t"): - return "store the %s files under the /var/spool directory." % prettyprint(f, "_spool_t") - if f.endswith("_spool_t"): - return "store the %s files under the /var/spool directory." % prettyprint(f, "_spool_t") - if f.endswith("_cache_t") or f.endswith("_var_cache_t"): - return "store the files under the /var/cache directory." - if f.endswith("_keytab_t"): - return "treat the files as kerberos keytab files." - if f.endswith("_lock_t"): - return "treat the files as %s lock data, stored under the /var/lock directory" % prettyprint(f,"_lock_t") - if f.endswith("_log_t"): - return "treat the data as %s log data, usually stored under the /var/log directory." % prettyprint(f,"_log_t") - if f.endswith("_config_t"): - return "treat the files as %s configuration data, usually stored under the /etc directory." % prettyprint(f,"_config_t") - if f.endswith("_conf_t"): - return "treat the files as %s configuration data, usually stored under the /etc directory." % prettyprint(f,"_conf_t") - if f.endswith("_exec_t"): - return "transition an executable to the %s_t domain." % f[:-len("_exec_t")] - if f.endswith("_cgi_content_t"): - return "treat the files as %s cgi content." % prettyprint(f, "_cgi_content_t") - if f.endswith("_rw_content_t"): - return "treat the files as %s read/write content." % prettyprint(f,"_rw_content_t") - if f.endswith("_rw_t"): - return "treat the files as %s read/write content." % prettyprint(f,"_rw_t") - if f.endswith("_write_t"): - return "treat the files as %s read/write content." % prettyprint(f,"_write_t") - if f.endswith("_db_t"): - return "treat the files as %s database content." % prettyprint(f,"_db_t") - if f.endswith("_ra_content_t"): - return "treat the files as %s read/append content." % prettyprint(f,"_ra_conten_t") - if f.endswith("_cert_t"): - return "treat the files as %s certificate data." % prettyprint(f,"_cert_t") - if f.endswith("_key_t"): - return "treat the files as %s key data." % prettyprint(f,"_key_t") - - if f.endswith("_secret_t"): - return "treat the files as %s secret data." % prettyprint(f,"_key_t") - - if f.endswith("_ra_t"): - return "treat the files as %s read/append content." % prettyprint(f,"_ra_t") - - if f.endswith("_ro_t"): - return "treat the files as %s read/only content." % prettyprint(f,"_ro_t") - - if f.endswith("_modules_t"): - return "treat the files as %s modules." % prettyprint(f, "_modules_t") - - if f.endswith("_content_t"): - return "treat the files as %s content." % prettyprint(f, "_content_t") - - if f.endswith("_state_t"): - return "treat the files as %s state data." % prettyprint(f, "_state_t") - - if f.endswith("_files_t"): - return "treat the files as %s content." % prettyprint(f, "_files_t") - - if f.endswith("_file_t"): - return "treat the files as %s content." % prettyprint(f, "_file_t") - - if f.endswith("_data_t"): - return "treat the files as %s content." % prettyprint(f, "_data_t") - - if f.endswith("_file_t"): - return "treat the data as %s content." % prettyprint(f, "_file_t") - - if f.endswith("_tmp_t"): - return "store %s temporary files in the /tmp directories." % prettyprint(f, "_tmp_t") - if f.endswith("_etc_t"): - return "store %s files in the /etc directories." % prettyprint(f, "_tmp_t") - if f.endswith("_home_t"): - return "store %s files in the users home directory." % prettyprint(f, "_home_t") - if f.endswith("_tmpfs_t"): - return "store %s files on a tmpfs file system." % prettyprint(f, "_tmpfs_t") - if f.endswith("_unit_file_t"): - return "treat files as a systemd unit file." - if f.endswith("_htaccess_t"): - return "treat the file as a %s access file." % prettyprint(f, "_htaccess_t") - - return "treat the files as %s data." % prettyprint(f,"_t") - - def booleans(self): - self.booltext = "" - for b in bools: - if b.find(self.short_name) >= 0: - if b.endswith("anon_write"): - self.anon_list.append(b) - else: - desc = seobject.booleans_dict[b][2][0].lower() + seobject.booleans_dict[b][2][1:] - if desc[-1] == ".": - desc = desc[:-1] - self.booltext += """ -.PP -If you want to %s, you must turn on the %s boolean. - -.EX -.B setsebool -P %s 1 -.EE -""" % (desc, b, b) - - if self.booltext != "": - self.fd.write(""" -.SH BOOLEANS -SELinux policy is customizable based on least access required. %s policy is extremely flexible and has several booleans that allow you to manipulate the policy and run %s with the tightest access possible. - -""" % (self.domainname, self.domainname)) - - self.fd.write(self.booltext) - - def nsswitch_domain(self): - nsswitch_types = [] - nsswitch_booleans = ['authlogin_nsswitch_use_ldap', 'kerberos_enabled'] - nsswitchbooltext = "" - if "nsswitch_domain" in all_attributes: - self.fd.write(""" -.SH NSSWITCH DOMAIN -""") - for k in self.attributes.keys(): - if "nsswitch_domain" in self.attributes[k]: - nsswitch_types.append(k) - - if len(nsswitch_types): - for i in nsswitch_booleans: - desc = seobject.booleans_dict[i][2][0].lower() + seobject.booleans_dict[i][2][1:-1] - nsswitchbooltext += """ -.PP -If you want to %s for the %s, you must turn on the %s boolean. - -.EX -setsebool -P %s 1 -.EE -""" % (desc,(", ".join(nsswitch_types)), i, i) - - self.fd.write(nsswitchbooltext) - - def process_types(self): - if len(self.ptypes) == 0: - return - self.fd.write(r""" -.SH PROCESS TYPES -SELinux defines process types (domains) for each process running on the system -.PP -You can see the context of a process using the \fB\-Z\fP option to \fBps\bP -.PP -Policy governs the access confined processes have to files. -SELinux %(domainname)s policy is very flexible allowing users to setup their %(domainname)s processes in as secure a method as possible. -.PP -The following process types are defined for %(domainname)s: -""" % {'domainname':self.domainname}) - self.fd.write(""" -.EX -.B %s -.EE""" % ", ".join(self.ptypes)) - self.fd.write(""" -.PP -Note: -.B semanage permissive -a PROCESS_TYPE -can be used to make a process type permissive. Permissive process types are not denied access by SELinux. AVC messages will still be generated. -""") - - def port_types(self): - self.ports = [] - for f in port_types: - if f.startswith(self.short_name): - self.ports.append(f) - - if len(self.ports) == 0: - return - self.fd.write(""" -.SH PORT TYPES -SELinux defines port types to represent TCP and UDP ports. -.PP -You can see the types associated with a port by using the following command: - -.B semanage port -l - -.PP -Policy governs the access confined processes have to these ports. -SELinux %(domainname)s policy is very flexible allowing users to setup their %(domainname)s processes in as secure a method as possible. -.PP -The following port types are defined for %(domainname)s:""" % {'domainname':self.domainname}) - - for p in self.ports: - self.fd.write(""" - -.EX -.TP 5 -.B %s -.TP 10 -.EE -""" % p) - once = True - for prot in ( "tcp", "udp" ): - if (p,prot) in portrecs: - if once: - self.fd.write(""" - -Default Defined Ports:""") - once = False - self.fd.write(r""" -%s %s -.EE""" % (prot, ",".join(portrecs[(p,prot)]))) - - def file_context(self): - self.fd.write(r""" -.SH FILE CONTEXTS -SELinux requires files to have an extended attribute to define the file type. -.PP -You can see the context of a file using the \fB\-Z\fP option to \fBls\bP -.PP -Policy governs the access confined processes have to these files. -SELinux %(domainname)s policy is very flexible allowing users to setup their %(domainname)s processes in as secure a method as possible. -.PP -The following file types are defined for %(domainname)s: -""" % {'domainname':self.domainname}) - for f in file_types: - if f.startswith(self.domainname): - self.fd.write(""" - -.EX -.PP -.B %s -.EE - -- Set files with the %s type, if you want to %s -""" % (f, f, self.explain(f))) - - if f in files_dict: - plural = "" - if len(files_dict[f]) > 1: - plural = "s" - self.fd.write(""" -.br -.TP 5 -Path%s: -%s""" % (plural, files_dict[f][0][0])) - for x in files_dict[f][1:]: - self.fd.write(", %s" % x[0]) - - self.fd.write(""" - -.PP -Note: File context can be temporarily modified with the chcon command. If you want to permanently change the file context you need to use the -.B semanage fcontext -command. This will modify the SELinux labeling database. You will need to use -.B restorecon -to apply the labels. -""") - - def public_content(self): - if len(self.anon_list) > 0: - self.fd.write(""" -.SH SHARING FILES -If you want to share files with multiple domains (Apache, FTP, rsync, Samba), you can set a file context of public_content_t and public_content_rw_t. These context allow any of the above domains to read the content. If you want a particular domain to write to the public_content_rw_t domain, you must set the appropriate boolean. -.TP -Allow %(domainname)s servers to read the /var/%(domainname)s directory by adding the public_content_t file type to the directory and by restoring the file type. -.PP -.B -semanage fcontext -a -t public_content_t "/var/%(domainname)s(/.*)?" -.br -.B restorecon -F -R -v /var/%(domainname)s -.pp -.TP -Allow %(domainname)s servers to read and write /var/tmp/incoming by adding the public_content_rw_t type to the directory and by restoring the file type. This also requires the allow_%(domainname)sd_anon_write boolean to be set. -.PP -.B -semanage fcontext -a -t public_content_rw_t "/var/%(domainname)s/incoming(/.*)?" -.br -.B restorecon -F -R -v /var/%(domainname)s/incoming - -""" % {'domainname':self.domainname}) - for b in self.anon_list: - desc = seobject.booleans_dict[b][2][0].lower() + seobject.booleans_dict[b][2][1:] - self.fd.write(""" -.PP -If you want to %s, you must turn on the %s boolean. - -.EX -.B setsebool -P %s 1 -.EE -""" % (desc, b, b)) - - def footer(self): - self.fd.write(""" -.SH "COMMANDS" -.B semanage fcontext -can also be used to manipulate default file context mappings. -.PP -.B semanage permissive -can also be used to manipulate whether or not a process type is permissive. -.PP -.B semanage module -can also be used to enable/disable/install/remove policy modules. -""") - - if len(self.ports) > 0: - self.fd.write(""" -.B semanage port -can also be used to manipulate the port definitions -""") - - if self.booltext != "": - self.fd.write(""" -.B semanage boolean -can also be used to manipulate the booleans -""") - - self.fd.write(""" -.PP -.B system-config-selinux -is a GUI tool available to customize SELinux policy settings. - -.SH AUTHOR -This manual page was autogenerated by genman.py. - -.SH "SEE ALSO" -selinux(8), %s(8), semanage(8), restorecon(8), chcon(1) -""" % self.domainname) - - if self.booltext != "": - self.fd.write(", setsebool(8)") - -if len(sys.argv) > 2: - domains = sys.argv[2:] - -for domainname in domains: - ManPage(domainname, sys.argv[1]) diff --git a/man/man8/ftpd_selinux.8 b/man/man8/ftpd_selinux.8 deleted file mode 100644 index 5bebd82..0000000 --- a/man/man8/ftpd_selinux.8 +++ /dev/null @@ -1,65 +0,0 @@ -.TH "ftpd_selinux" "8" "17 Jan 2005" "dwalsh@redhat.com" "ftpd SELinux policy documentation" -.SH "NAME" -.PP -ftpd_selinux \- Security-Enhanced Linux policy for ftp daemons. -.SH "DESCRIPTION" -.PP -Security-Enhanced Linux provides security for ftp daemons via flexible mandatory access control. -.SH FILE_CONTEXTS -.PP -SELinux requires files to have a file type. File types may be specified with semanage and are restored with restorecon. Policy governs the access that daemons have to files. -.TP -Allow ftp servers to read the /var/ftp directory by adding the public_content_t file type to the directory and by restoring the file type. -.PP -.B -semanage fcontext -a -t public_content_t "/var/ftp(/.*)?" -.TP -.B -restorecon -F -R -v /var/ftp -.TP -Allow ftp servers to read and write /var/tmp/incoming by adding the public_content_rw_t type to the directory and by restoring the file type. This also requires the allow_ftpd_anon_write boolean to be set. -.PP -.B -semanage fcontext -a -t public_content_rw_t "/var/ftp/incoming(/.*)?" -.TP -.B -restorecon -F -R -v /var/ftp/incoming - -.SH BOOLEANS -.PP -SELinux policy is based on least privilege required and may also be customizable by setting a boolean with setsebool. -.TP -Allow ftp servers to read and write files with the public_content_rw_t file type. -.PP -.B -setsebool -P allow_ftpd_anon_write on -.TP -Allow ftp servers to read or write files in the user home directories. -.PP -.B -setsebool -P ftp_home_dir on -.TP -Allow ftp servers to read or write all files on the system. -.PP -.B -setsebool -P allow_ftpd_full_access on -.TP -Allow ftp servers to use cifs for public file transfer services. -.PP -.B -setsebool -P allow_ftpd_use_cifs on -.TP -Allow ftp servers to use nfs for public file transfer services. -.PP -.B -setsebool -P allow_ftpd_use_nfs on -.TP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -.PP -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -.PP - -selinux(8), ftpd(8), setsebool(8), semanage(8), restorecon(8) diff --git a/man/man8/git_selinux.8 b/man/man8/git_selinux.8 deleted file mode 100644 index e9c43b1..0000000 --- a/man/man8/git_selinux.8 +++ /dev/null @@ -1,109 +0,0 @@ -.TH "git_selinux" "8" "27 May 2010" "domg472@gmail.com" "Git SELinux policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "NAME" -git_selinux \- Security Enhanced Linux Policy for the Git daemon. -.SH "DESCRIPTION" -Security-Enhanced Linux secures the Git server via flexible mandatory access -control. -.SH FILE_CONTEXTS -SELinux requires files to have an extended attribute to define the file type. -Policy governs the access daemons have to these files. -SELinux Git policy is very flexible allowing users to setup their web services in as secure a method as possible. -.PP -The following file contexts types are by default defined for Git: -.EX -git_system_content_t -.EE -- Set files with git_system_content_t if you want the Git system daemon to read the file, and if you want the file to be modifiable and executable by all "Git shell" users. -.EX -git_session_content_t -.EE -- Set files with git_session_content_t if you want the Git session and system daemon to read the file, and if you want the file to be modifiable and executable by all users. Note that "Git shell" users may not interact with this type. -.SH BOOLEANS -SELinux policy is customizable based on least access required. Git policy is extremely flexible and has several booleans that allow you to manipulate the policy and run Git with the tightest access possible. -.PP -Allow the Git system daemon to search user home directories so that it can find git session content. This is useful if you want the Git system daemon to host users personal repositories. -.EX -sudo setsebool -P git_system_enable_homedirs 1 -.EE -.PP -Allow the Git system daemon to read system shared repositories on NFS shares. -.EX -sudo setsebool -P git_system_use_nfs 1 -.EE -.PP -Allow the Git system daemon to read system shared repositories on Samba shares. -.EX -sudo setsebool -P git_system_use_cifs 1 -.EE -.PP -Allow the Git session daemon to read users personal repositories on NFS mounted home directories. -.EX -sudo setsebool -P use_nfs_home_dirs 1 -.EE -.PP -Allow the Git session daemon to read users personal repositories on Samba mounted home directories. -.EX -sudo setsebool -P use_samba_home_dirs 1 -.EE -.PP -To also allow Git system daemon to read users personal repositories on NFS and Samba mounted home directories you must also allow the Git system daemon to search home directories so that it can find the repositories. -.EX -sudo setsebool -P git_system_enable_homedirs 1 -.EE -.PP -To allow the Git System daemon mass hosting of users personal repositories you can allow the Git daemon to listen to any unreserved ports. -.EX -sudo setsebool -P git_session_bind_all_unreserved_ports 1 -.EE -.SH GIT_SHELL -The Git policy by default provides a restricted user environment to be used with "Git shell". This default git_shell_u SELinux user can modify and execute generic Git system content (generic system shared respositories with type git_system_content_t). -.PP -To add a new Linux user and map him to this Git shell user domain automatically: -.EX -sudo useradd -Z git_shell_u joe -.EE -.SH ADVANCED_SYSTEM_SHARED_REPOSITORY_AND GIT_SHELL_RESTRICTIONS -Alternatively Git SELinux policy can be used to restrict "Git shell" users to git system shared repositories. The policy allows for the creation of new types of Git system content and Git shell user environment. The policy allows for delegation of types of "Git shell" environments to types of Git system content. -.PP -To add a new Git system repository type, for example "project1" create a file named project1.te and add to it: -.EX -policy_module(project1, 1.0.0) -git_content_template(project1) -.EE -Next create a file named project1.fc and add a file context specification for the new repository type to it: -.EX -/srv/git/project1\.git(/.*)? gen_context(system_u:object_r:git_project1_content_t,s0) -.EE -Build a binary representation of this source policy module, load it into the policy store and restore the context of the repository: -.EX -make -f /usr/share/selinux/devel/Makefile project.pp -sudo semodule -i project1.pp -sudo restorecon -R -v /srv/git/project1 -.EE -To create a "Git shell" domain that can interact with this repository create a file named project1user.te in the same directory as where the source policy for the Git systemm content type is and add the following: -.EX -policy_module(project1user, 1.0.0) -git_role_template(project1user) -git_content_delegation(project1user_t, git_project1_content_t) -gen_user(project1user_u, user, project1user_r, s0, s0) -.EE -Build a binary representation of this source policy module, load it into the policy store and map Linux users to the new project1user_u SELinux user: -.EX -make -f /usr/share/selinux/devel/Makefile project1user.pp -sudo semodule -i project1user.pp -sudo useradd -Z project1user_u jane -.EE -.PP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -This manual page was written by Dominick Grift . -.SH "SEE ALSO" -selinux(8), git(8), chcon(1), semodule(8), setsebool(8) diff --git a/man/man8/httpd_selinux.8 b/man/man8/httpd_selinux.8 deleted file mode 100644 index a939a74..0000000 --- a/man/man8/httpd_selinux.8 +++ /dev/null @@ -1,120 +0,0 @@ -.TH "httpd_selinux" "8" "17 Jan 2005" "dwalsh@redhat.com" "httpd Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "NAME" -httpd_selinux \- Security Enhanced Linux Policy for the httpd daemon -.SH "DESCRIPTION" - -Security-Enhanced Linux secures the httpd server via flexible mandatory access -control. -.SH FILE_CONTEXTS -SELinux requires files to have an extended attribute to define the file type. -Policy governs the access daemons have to these files. -SELinux httpd policy is very flexible allowing users to setup their web services in as secure a method as possible. -.PP -The following file contexts types are defined for httpd: -.EX -httpd_sys_content_t -.EE -- Set files with httpd_sys_content_t if you want httpd_sys_script_exec_t scripts and the daemon to read the file, and disallow other non sys scripts from access. -.EX -httpd_sys_script_exec_t -.EE -- Set cgi scripts with httpd_sys_script_exec_t to allow them to run with access to all sys types. -.EX -httpd_sys_content_rw_t -.EE -- Set files with httpd_sys_content_rw_t if you want httpd_sys_script_exec_t scripts and the daemon to read/write the data, and disallow other non sys scripts from access. -.EX -httpd_sys_content_ra_t -.EE -- Set files with httpd_sys_content_ra_t if you want httpd_sys_script_exec_t scripts and the daemon to read/append to the file, and disallow other non sys scripts from access. -.EX -httpd_unconfined_script_exec_t -.EE -- Set cgi scripts with httpd_unconfined_script_exec_t to allow them to run without any SELinux protection. This should only be used for a very complex httpd scripts, after exhausting all other options. It is better to use this script rather than turning off SELinux protection for httpd. - -.SH NOTE -With certain policies you can define additional file contexts based on roles like user or staff. httpd_user_script_exec_t can be defined where it would only have access to "user" contexts. - -.SH SHARING FILES -If you want to share files with multiple domains (Apache, FTP, rsync, Samba), you can set a file context of public_content_t and public_content_rw_t. These context allow any of the above domains to read the content. If you want a particular domain to write to the public_content_rw_t domain, you must set the appropriate boolean. allow_DOMAIN_anon_write. So for httpd you would execute: - -.EX -setsebool -P allow_httpd_anon_write=1 -.EE - -or - -.EX -setsebool -P allow_httpd_sys_script_anon_write=1 -.EE - -.SH BOOLEANS -SELinux policy is customizable based on least access required. SElinux can be setup to prevent certain http scripts from working. httpd policy is extremely flexible and has several booleans that allow you to manipulate the policy and run httpd with the tightest access possible. -.PP -httpd can be setup to allow cgi scripts to be executed, set httpd_enable_cgi to allow this - -.EX -setsebool -P httpd_enable_cgi 1 -.EE - -.PP -SELinux policy for httpd can be setup to not allowed to access users home directories. If you want to allow access to users home directories you need to set the httpd_enable_homedirs boolean and change the context of the files that you want people to access off the home dir. - -.EX -setsebool -P httpd_enable_homedirs 1 -chcon -R -t httpd_sys_content_t ~user/public_html -.EE - -.PP -SELinux policy for httpd can be setup to not allow access to the controlling terminal. In most cases this is preferred, because an intruder might be able to use the access to the terminal to gain privileges. But in certain situations httpd needs to prompt for a password to open a certificate file, in these cases, terminal access is required. Set the httpd_tty_comm boolean to allow terminal access. - -.EX -setsebool -P httpd_tty_comm 1 -.EE - -.PP -httpd can be configured to not differentiate file controls based on context, i.e. all files labeled as httpd context can be read/write/execute. Setting this boolean to false allows you to setup the security policy such that one httpd service can not interfere with another. - -.EX -setsebool -P httpd_unified 0 -.EE - -.PP -SELinu policy for httpd can be configured to turn on sending email. This is a security feature, since it would prevent a vulnerabiltiy in http from causing a spam attack. I certain situations, you may want http modules to send mail. You can turn on the httpd_send_mail boolean. - -.EX -setsebool -P httpd_can_sendmail 1 -.PP -httpd can be configured to turn off internal scripting (PHP). PHP and other -loadable modules run under the same context as httpd. Therefore several policy rules allow httpd greater access to the system then is needed if you only use external cgi scripts. - -.EX -setsebool -P httpd_builtin_scripting 0 -.EE - -.PP -SELinux policy can be setup such that httpd scripts are not allowed to connect out to the network. -This would prevent a hacker from breaking into you httpd server and attacking -other machines. If you need scripts to be able to connect you can set the httpd_can_network_connect boolean on. - -.EX -setsebool -P httpd_can_network_connect 1 -.EE - -.PP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -selinux(8), httpd(8), chcon(1), setsebool(8) - - diff --git a/man/man8/kerberos_selinux.8 b/man/man8/kerberos_selinux.8 deleted file mode 100644 index a8f81c8..0000000 --- a/man/man8/kerberos_selinux.8 +++ /dev/null @@ -1,28 +0,0 @@ -.TH "kerberos_selinux" "8" "17 Jan 2005" "dwalsh@redhat.com" "kerberos Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "NAME" -kerberos_selinux \- Security Enhanced Linux Policy for Kerberos. -.SH "DESCRIPTION" - -Security-Enhanced Linux secures the system via flexible mandatory access -control. SELinux policy can be configured to deny Kerberos access to confined applications, since it requires daemons to be allowed greater access to certain secure files and additional access to the network. -.SH BOOLEANS -.PP -You must set the allow_kerberos boolean to allow your system to work properly in a Kerberos environment. -.EX -setsebool -P allow_kerberos 1 -.EE -.PP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -selinux(8), kerberos(1), chcon(1), setsebool(8) diff --git a/man/man8/named_selinux.8 b/man/man8/named_selinux.8 deleted file mode 100644 index 4dab2e2..0000000 --- a/man/man8/named_selinux.8 +++ /dev/null @@ -1,30 +0,0 @@ -.TH "named_selinux" "8" "17 Jan 2005" "dwalsh@redhat.com" "named Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "NAME" -named_selinux \- Security Enhanced Linux Policy for the Internet Name server (named) daemon -.SH "DESCRIPTION" - -Security-Enhanced Linux secures the named server via flexible mandatory access -control. -.SH BOOLEANS -SELinux policy is customizable based on least access required. So by -default SElinux policy does not allow named to write master zone files. If you want to have named update the master zone files you need to set the named_write_master_zones boolean. -.EX -setsebool -P named_write_master_zones 1 -.EE -.PP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -selinux(8), named(8), chcon(1), setsebool(8) - - diff --git a/man/man8/nfs_selinux.8 b/man/man8/nfs_selinux.8 deleted file mode 100644 index 8e30c4c..0000000 --- a/man/man8/nfs_selinux.8 +++ /dev/null @@ -1,31 +0,0 @@ -.TH "nfs_selinux" "8" "9 Feb 2009" "dwalsh@redhat.com" "NFS SELinux Policy documentation" -.SH "NAME" -nfs_selinux \- Security Enhanced Linux Policy for NFS -.SH "DESCRIPTION" - -Security Enhanced Linux secures the NFS server via flexible mandatory access -control. -.SH BOOLEANS -SELinux policy is customizable based on the least level of access required. SELinux can be configured to not allow NFS to share files. If you want to share NFS partitions, and only allow read-only access to those NFS partitions, turn the nfs_export_all_ro boolean on: - -.TP -setsebool -P nfs_export_all_ro 1 -.TP -If you want to share files read/write you must set the nfs_export_all_rw boolean. -.TP -setsebool -P nfs_export_all_rw 1 - -.TP -These booleans are not required when files to be shared are labeled with the public_content_t or public_content_rw_t types. NFS can share files labeled with the public_content_t or public_content_rw_t types even if the nfs_export_all_ro and nfs_export_all_rw booleans are off. - -.TP -If you want to use a remote NFS server for the home directories on this machine, you must set the use_nfs_home_dirs boolean: -.TP -setsebool -P use_nfs_home_dirs 1 -.TP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -selinux(8), chcon(1), setsebool(8) diff --git a/man/man8/nis_selinux.8 b/man/man8/nis_selinux.8 deleted file mode 100644 index 6271c95..0000000 --- a/man/man8/nis_selinux.8 +++ /dev/null @@ -1 +0,0 @@ -.so man8/ypbind_selinux.8 diff --git a/man/man8/rsync_selinux.8 b/man/man8/rsync_selinux.8 deleted file mode 100644 index ad9ccf5..0000000 --- a/man/man8/rsync_selinux.8 +++ /dev/null @@ -1,52 +0,0 @@ -.TH "rsync_selinux" "8" "17 Jan 2005" "dwalsh@redhat.com" "rsync Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "NAME" -rsync_selinux \- Security Enhanced Linux Policy for the rsync daemon -.SH "DESCRIPTION" - -Security-Enhanced Linux secures the rsync server via flexible mandatory access -control. -.SH FILE_CONTEXTS -SELinux requires files to have an extended attribute to define the file type. -Policy governs the access daemons have to these files. -If you want to share files using the rsync daemon, you must label the files and directories public_content_t. So if you created a special directory /var/rsync, you -would need to label the directory with the chcon tool. -.TP -chcon -t public_content_t /var/rsync -.TP -.TP -To make this change permanent (survive a relabel), use the semanage command to add the change to file context configuration: -.TP -semanage fcontext -a -t public_content_t "/var/rsync(/.*)?" -.TP -This command adds the following entry to /etc/selinux/POLICYTYPE/contexts/files/file_contexts.local: -.TP -/var/rsync(/.*)? system_u:object_r:publix_content_t:s0 -.TP -Run the restorecon command to apply the changes: -.TP -restorecon -R -v /var/rsync/ -.EE - -.SH SHARING FILES -If you want to share files with multiple domains (Apache, FTP, rsync, Samba), you can set a file context of public_content_t and public_content_rw_t. These context allow any of the above domains to read the content. If you want a particular domain to write to the public_content_rw_t domain, you must set the appropriate boolean. allow_DOMAIN_anon_write. So for rsync you would execute: - -.EX -setsebool -P allow_rsync_anon_write=1 -.EE - -.SH BOOLEANS -.TP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -selinux(8), rsync(1), chcon(1), setsebool(8), semanage(8) diff --git a/man/man8/samba_selinux.8 b/man/man8/samba_selinux.8 deleted file mode 100644 index 14498e1..0000000 --- a/man/man8/samba_selinux.8 +++ /dev/null @@ -1,56 +0,0 @@ -.TH "samba_selinux" "8" "17 Jan 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation" -.SH "NAME" -samba_selinux \- Security Enhanced Linux Policy for Samba -.SH "DESCRIPTION" - -Security-Enhanced Linux secures the Samba server via flexible mandatory access -control. -.SH FILE_CONTEXTS -SELinux requires files to have an extended attribute to define the file type. -Policy governs the access daemons have to these files. -If you want to share files other than home directories, those files must be -labeled samba_share_t. So if you created a special directory /var/eng, you -would need to label the directory with the chcon tool. -.TP -chcon -t samba_share_t /var/eng -.TP -To make this change permanent (survive a relabel), use the semanage command to add the change to file context configuration: -.TP -semanage fcontext -a -t samba_share_t "/var/eng(/.*)?" -.TP -This command adds the following entry to /etc/selinux/POLICYTYPE/contexts/files/file_contexts.local: -.TP -/var/eng(/.*)? system_u:object_r:samba_share_t:s0 -.TP -Run the restorecon command to apply the changes: -.TP -restorecon -R -v /var/eng/ - -.SH SHARING FILES -If you want to share files with multiple domains (Apache, FTP, rsync, Samba), you can set a file context of public_content_t and public_content_rw_t. These context allow any of the above domains to read the content. If you want a particular domain to write to the public_content_rw_t domain, you must set the appropriate boolean. allow_DOMAIN_anon_write. So for samba you would execute: - -setsebool -P allow_smbd_anon_write=1 - -.SH BOOLEANS -.br -SELinux policy is customizable based on least access required. So by -default SElinux policy turns off SELinux sharing of home directories and -the use of Samba shares from a remote machine as a home directory. -.TP -If you are setting up this machine as a Samba server and wish to share the home directories, you need to set the samba_enable_home_dirs boolean. -.br - -setsebool -P samba_enable_home_dirs 1 -.TP -If you want to use a remote Samba server for the home directories on this machine, you must set the use_samba_home_dirs boolean. -.br - -setsebool -P use_samba_home_dirs 1 -.TP -system-config-selinux is a GUI tool available to customize SELinux policy settings. - -.SH AUTHOR -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -selinux(8), samba(7), chcon(1), setsebool(8), semanage(8) diff --git a/man/man8/ypbind_selinux.8 b/man/man8/ypbind_selinux.8 deleted file mode 100644 index 5061a5f..0000000 --- a/man/man8/ypbind_selinux.8 +++ /dev/null @@ -1,19 +0,0 @@ -.TH "ypbind_selinux" "8" "17 Jan 2005" "dwalsh@redhat.com" "ypbind Selinux Policy documentation" -.SH "NAME" -ypbind_selinux \- Security Enhanced Linux Policy for NIS. -.SH "DESCRIPTION" - -Security-Enhanced Linux secures the system via flexible mandatory access -control. SELinux can be setup deny NIS from working, since it requires daemons to be allowed greater access to the network. -.SH BOOLEANS -.TP -You must set the allow_ypbind boolean to allow your system to work properly in a NIS environment. -.TP -setsebool -P allow_ypbind 1 -.TP -system-config-selinux is a GUI tool available to customize SELinux policy settings. -.SH AUTHOR -This manual page was written by Dan Walsh . - -.SH "SEE ALSO" -selinux(8), ypbind(8), chcon(1), setsebool(8) diff --git a/man/ru/man8/ftpd_selinux.8 b/man/ru/man8/ftpd_selinux.8 deleted file mode 100644 index efa915e..0000000 --- a/man/ru/man8/ftpd_selinux.8 +++ /dev/null @@ -1,57 +0,0 @@ -.TH "ftpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ftpd Selinux Policy documentation" -.SH "НАЗВАНИЕ" -ftpd_selinux \- Политика Security Enhanced Linux для демона ftp -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа. -.SH КОНТЕКСТ ФАЙЛОВ -SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. -Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный -доступ к файлам, вы должны присвоить этим файлам и директориям контекст public_content_t. -Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить контекст для этой директории при помощи утилиты chcon. -.TP -chcon -R -t public_content_t /var/ftp -.TP -Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны -установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon. -.TP -chcon -t public_content_rw_t /var/ftp/incoming -.TP -Вы также должны включить переключатель allow_ftpd_anon_write. -.TP -setsebool -P allow_ftpd_anon_write=1 -.TP -Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся -при обновлении контекстов, вы должны добавить записи в файл file_contexts.local. -.TP -/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local -.br -/var/ftp(/.*)? system_u:object_r:public_content_t -/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t - -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -Политика SELinux для демона ftp настроена исходя из принципа наименьших привелегий. Таким -образом, по умолчанию политика SELinux не позволяет пользователям заходить на сервер и -читать содержимое их домашних директорий. -.br -Если вы настраиваете данную машину как ftpd-сервер и хотите, чтобы пользователи могли получать -доступ к своим домашним директориям, то вам необходимо установить переключатель ftp_home_dir. -.TP -setsebool -P ftp_home_dir 1 -.TP -ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы -хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon. -.TP -setsebool -P ftpd_is_daemon 1 -.br -service vsftpd restart -.TP -Для управления настройками SELinux существует графическая утилита system-config-selinux. -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), ftpd(8), chcon(1), setsebool(8) - - diff --git a/man/ru/man8/httpd_selinux.8 b/man/ru/man8/httpd_selinux.8 deleted file mode 100644 index a653b7d..0000000 --- a/man/ru/man8/httpd_selinux.8 +++ /dev/null @@ -1,137 +0,0 @@ -.TH "httpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "httpd Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "НАЗВАНИЕ" -httpd_selinux \- Политика Security Enhanced Linux для демона httpd -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux обеспечивает защиту сервера httpd при помощи гибко настраиваемого мандатного контроля доступа. -.SH КОНТЕКСТ ФАЙЛОВ -SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. -Политика управляет видом доступа демона к этим файлам. -Политика SELinux для демона httpd позволяет пользователям настроить web-службы максимально безопасным методом с высокой степенью гибкости. -.PP -Для httpd определены следующие контексты файлов: -.EX -httpd_sys_content_t -.EE -- Установите контекст httpd_sys_content_t для содержимого, которое должно быть доступно для всех скриптов httpd и для самого демона. -.EX -httpd_sys_script_exec_t -.EE -- Установите контекст httpd_sys_script_exec_t для cgi-скриптов, чтобы разрешить им доступ ко всем sys-типам. -.EX -httpd_sys_script_ro_t -.EE -- Установите на файлы контекст httpd_sys_script_ro_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать данные, и при этом нужно запретить доступ другим не-sys скриптам. -.EX -httpd_sys_script_rw_t -.EE -- Установите на файлы контекст httpd_sys_script_rw_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и писать данные, и при этом нужно запретить доступ другим не-sys скриптам. -.EX -httpd_sys_script_ra_t -.EE -- Установите на файлы контекст httpd_sys_script_ra_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и добавлять данные, и при этом нужно запретить доступ другим не-sys скриптам. -.EX -httpd_unconfined_script_exec_t -.EE -- Установите на cgi-скрипты контекст httpd_unconfined_script_exec_t если вы хотите разрешить -им исполняться без какой-либо защиты SELinux. Такой способ должен использоваться только для -скриптов с очень комплексными требованиями, и только в случае, если все остальные варианты настройки не дали результата. Лучше использовать скрипты с контекстом httpd_unconfined_script_exec_t, чем выключать защиту SELinux для httpd. - -.SH ЗАМЕЧАНИЕ -Вместе с некоторыми политиками, вы можете определить дополнительные контексты файлов, основанные -на ролях, таких как user или staff. Может быть определен контекст httpd_user_script_exec_t, который будет иметь доступ только к "пользовательским" контекстам. - -.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ -Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный -доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t. -Данный контекст позволяет любому из выше перечисленных демонов читать содержимое. -Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны -установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для httpd вы должны выполнить команду: - -.EX -setsebool -P allow_httpd_anon_write=1 -.EE - -или - -.EX -setsebool -P allow_httpd_sys_script_anon_write=1 -.EE - -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -Политика SELinux настроена исходя из принципа наименьших привилегий. Таким образом, -по умолчанию SELinux препятствует работе некоторых http-скриптов. Политика httpd весьма -гибка, и существующие переключатели управляют политикой, позволяя httpd выполняться -с наименее возможными правами доступа. -.PP -Если вы хотите, чтобы httpd мог исполнять cgi-скрипты, установите переключатель httpd_enable_cgi -.EX -setsebool -P httpd_enable_cgi 1 -.EE - -.PP -По умолчанию демону httpd не разрешен доступ в домашние дерикториии пользователей. Если вы хотите разрешить доступ, вам необходимо установить переключатель httpd_enable_homedirs и изменить контекст -тех файлов в домашних директориях пользователей, к которым должен быть разрешен доступ. - -.EX -setsebool -P httpd_enable_homedirs 1 -chcon -R -t httpd_sys_content_t ~user/public_html -.EE - -.PP -По умолчанию демон httpd не имеет доступ к управляющему терминалу. В большинстве случаев такое -поведение является предпочтительным. Это связанно с тем, что злоумышленник может попытаться -использовать доступ к терминалу для получения привилегий. Однако, в некоторых ситуациях демон -httpd должен выводить запрос пароля для открытия файла сертификата и в таких случаях нужен доступ -к терминалу. Для того, чтобы разрешить доступ к терминалу, установите переключатель httpd_tty_comm. -.EX -setsebool -P httpd_tty_comm 1 -.EE - -.PP -httpd может быть настроен так, чтобы не разграничивать тип доступа к файлу на основании контекста. -Иными словами, ко всем файлам, имеющим контекст httpd разрешен доступ на чтение/запись/исполнение. -Установка этого переключателя в false, позволяет настроить политику безопасности таким образом, -что одина служба httpd не конфликтует с другой. -.EX -setsebool -P httpd_unified 0 -.EE - -.PP -Имеется возможность настроить httpd таким образом, чтобы отключить встроенную поддержку -скриптов (PHP). PHP и другие загружаемые модули работают в том же контексте, что и httpd. -Таким образом, если используются только внешние cgi-скрипты, некоторые из правил политики -разрешают httpd больший доступ к системе, чем необходимо. - -.EX -setsebool -P httpd_builtin_scripting 0 -.EE - -.PP -По умолчанию httpd-скриптам запрещено устанавливать внешние сетевые подключения. -Это не позволит хакеру, взломавшему ваш httpd-сервер, атаковать другие машины. -Если вашим скриптам необходимо иметь возможность подключения, установите переключатель -httpd_can_network_connect - -.EX -setsebool -P httpd_can_network_connect 1 -.EE - -.PP -Для управления настройками SELinux существует графическая утилита system-config-selinux. -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), httpd(8), chcon(1), setsebool(8) - - diff --git a/man/ru/man8/kerberos_selinux.8 b/man/ru/man8/kerberos_selinux.8 deleted file mode 100644 index 9f546dc..0000000 --- a/man/ru/man8/kerberos_selinux.8 +++ /dev/null @@ -1,30 +0,0 @@ -.TH "kerberos_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "kerberos Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "НАЗВАНИЕ" -kerberos_selinux \- Политика Security Enhanced Linux для Kerberos. -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию Kerberos запрещен, поскольку требуется функционирование демонов, -которым предоставляется слишком обширный доступ к сети и некоторым чувствительным в плане безопасности файлам. - -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -.PP -Для того, чтобы система могла корректно работать в окружении Kerberos, вы должны установить переключатель allow_kerberos. -.EX -setsebool -P allow_kerberos 1 -.EE -.PP -Для управления настройками SELinux существует графическая утилита system-config-selinux. -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), kerberos(1), chcon(1), setsebool(8) diff --git a/man/ru/man8/named_selinux.8 b/man/ru/man8/named_selinux.8 deleted file mode 100644 index 9818f79..0000000 --- a/man/ru/man8/named_selinux.8 +++ /dev/null @@ -1,31 +0,0 @@ -.TH "named_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "named Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "НАЗВАНИЕ" -named_selinux \- Политика Security Enhanced Linux для демона Internet Name server (named) -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux обеспечивает защиту сервера named при помощи гибко настраиваемого мандатного контроля доступа. -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом, -по умолчанию политика SELinux не позволяет демону named осуществлять изменения файлов мастер-зоны. -Если вам необходимо, чтобы named мог обновлять файлы мастер-зоны, вы должны установить переключатель named_write_master_zones boolean. -.EX -setsebool -P named_write_master_zones 1 -.EE -.PP -Для управления настройками SELinux существует графическая утилита system-config-selinux. -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), named(8), chcon(1), setsebool(8) - - diff --git a/man/ru/man8/nfs_selinux.8 b/man/ru/man8/nfs_selinux.8 deleted file mode 100644 index 525513f..0000000 --- a/man/ru/man8/nfs_selinux.8 +++ /dev/null @@ -1,33 +0,0 @@ -.TH "nfs_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "nfs Selinux Policy documentation" -.SH "НАЗВАНИЕ" -nfs_selinux \- Политика Security Enhanced Linux для NFS -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux защищает сервер nfs при помощи гибко настраиваемого мандатного контроля доступа. -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом, -по умолчанию политика SELinux не позволяет предоставлять доступ к файлам по nfs. Если вы хотите -разрешить доступ только на чтение к файлам этой машины по nfs, вы должны установить переключатель -nfs_export_all_ro. - -.TP -setsebool -P nfs_export_all_ro 1 -.TP -Если вы хотите разрешить доступ на чтение/запись, вы должны установить переключатель nfs_export_all_rw. -.TP -setsebool -P nfs_export_all_rw 1 - -.TP -Если вы хотите использовать удаленный NFS сервер для хранения домашних директорий этой машины, -то вы должны установить переключатель use_nfs_home_dir boolean. -.TP -setsebool -P use_nfs_home_dirs 1 -.TP -Для управления настройками SELinux существует графическая утилита -system-config-selinux. -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), chcon(1), setsebool(8) diff --git a/man/ru/man8/rsync_selinux.8 b/man/ru/man8/rsync_selinux.8 deleted file mode 100644 index 7b60605..0000000 --- a/man/ru/man8/rsync_selinux.8 +++ /dev/null @@ -1,50 +0,0 @@ -.TH "rsync_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "rsync Selinux Policy documentation" -.de EX -.nf -.ft CW -.. -.de EE -.ft R -.fi -.. -.SH "НАЗВАНИЕ" -rsync_selinux \- Политика Security Enhanced Linux для демона rsync -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux обеспечивает защиту сервера rsync при помощи гибко настраиваемого мандатного контроля доступа. -.SH КОНТЕКСТ ФАЙЛОВ -SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. -Политика управляет видом доступа демона к этим файлам. Если вы хотите предоставить доступ к файлам -при помощи демона rsync, вы должны присвоить этим файлам и директориям контекст -public_content_t. Таким образом, если вы создаете специальную директорию /var/rsync, то вам -необходимо установить контекст для этой директории при помощи утилиты chcon. -.TP -chcon -t public_content_t /var/rsync -.TP -Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся -при обновлении контекстов, вы должны добавить записи в файл file_contexts.local. -.EX -/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local -/var/rsync(/.*)? system_u:object_r:public_content_t -.EE - -.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ -Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный -доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t. -Данный контекст позволяет любому из выше перечисленных демонов читать содержимое. -Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны -установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для rsync вы должны выполнить команду: - -.EX -setsebool -P allow_rsync_anon_write=1 -.EE - -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -.TP -Для управления настройками SELinux существует графическая утилита system-config-selinux. -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), rsync(1), chcon(1), setsebool(8) diff --git a/man/ru/man8/samba_selinux.8 b/man/ru/man8/samba_selinux.8 deleted file mode 100644 index 9a16863..0000000 --- a/man/ru/man8/samba_selinux.8 +++ /dev/null @@ -1,60 +0,0 @@ -.TH "samba_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation" -.SH "НАЗВАНИЕ" -samba_selinux \- Политика Security Enhanced Linux для Samba -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа. -.SH КОНТЕКСТ ФАЙЛОВ -SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. -Политика управляет видом доступа демона к этим файлам. -Если вы хотите предоставить доступ к файлам вовне домашних директорий, этим файлам необходимо -присвоить контекст samba_share_t. -Таким образом, если вы создаете специальную директорию /var/eng, то вам необходимо -установить контекст для этой директории при помощи утилиты chcon. -.TP -chcon -t samba_share_t /var/eng -.TP - -Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся -при обновлении контекстов, вы должны добавить записи в файл file_contexts.local. -.TP -/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local -.br -/var/eng(/.*)? system_u:object_r:samba_share_t - -.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ -Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный -доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t. -Данный контекст позволяет любому из выше перечисленных демонов читать содержимое. -Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны -установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить команду: - -setsebool -P allow_smbd_anon_write=1 - -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -.br -Политика SELinux настраивается исходя из принципа наименьших привилегий. -Таким образом, по умолчанию политика SELinux не позволяет предоставлять удаленный доступ -к домашним директориям и не позволяет использовать удаленный сервер Samba для хранения -домашних директорий. -.TP -Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним -директориям, вы должны установить переключатель samba_enable_home_dirs. -.br - -setsebool -P samba_enable_home_dirs 1 -.TP -Если вы хотите для хранения домашних директорий пользователей этой машины использовать удаленный -сервер Samba, вы должны установить переключатель use_samba_home_dirs. -.br - -setsebool -P use_samba_home_dirs 1 -.TP -Для управления настройками SELinux существует графическая утилита system-config-selinux. - -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), samba(7), chcon(1), setsebool(8) diff --git a/man/ru/man8/ypbind_selinux.8 b/man/ru/man8/ypbind_selinux.8 deleted file mode 100644 index a6c084a..0000000 --- a/man/ru/man8/ypbind_selinux.8 +++ /dev/null @@ -1,19 +0,0 @@ -.TH "ypbind_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ypbind Selinux Policy documentation" -.SH "НАЗВАНИЕ" -ypbind_selinux \- Политика Security Enhanced Linux для NIS. -.SH "ОПИСАНИЕ" - -Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию работа NIS запрещена. Это является следствием того, что демоны NIS требуют слишком обширного доступа к сети. -.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) -.TP -Для того, чтобы система могла работать в окружении NIS, вы должны установить переключатель allow_ypbind. -.TP -setsebool -P allow_ypbind 1 -.TP -Для управления настройками SELinux существует графическая утилита system-config-selinux. -.SH АВТОРЫ -Эту страницу руководства написал Dan Walsh . -Перевод руководства - Андрей Маркелов , 2007г. - -.SH "СМОТРИ ТАКЖЕ" -selinux(8), ypbind(8), chcon(1), setsebool(8) diff --git a/permissivedomains.pp b/permissivedomains.pp index f12210a..0870c6a 100644 Binary files a/permissivedomains.pp and b/permissivedomains.pp differ diff --git a/selinux-policy.spec b/selinux-policy.spec index 8600b50..28c5e3d 100644 --- a/selinux-policy.spec +++ b/selinux-policy.spec @@ -13,13 +13,13 @@ %if %{?BUILD_MLS:0}%{!?BUILD_MLS:1} %define BUILD_MLS 1 %endif -%define POLICYVER 27 +%define POLICYVER 28 %define POLICYCOREUTILSVER 2.1.13-34 -%define CHECKPOLICYVER 2.1.10-3 +%define CHECKPOLICYVER 2.1.11-3 Summary: SELinux policy configuration Name: selinux-policy Version: 3.11.1 -Release: 69%{?dist} +Release: 69.1%{?dist} License: GPLv2+ Group: System Environment/Base Source: serefpolicy-%{version}.tgz @@ -524,6 +524,10 @@ SELinux Reference policy mls base module. %endif %changelog +* Sat Jan 5 2013 Dan Walsh 3.11.1-69.1 +- Bump the policy version to 28 to match selinux userspace +- Rebuild versus latest libsepol + * Wed Jan 2 2013 Miroslav Grepl 3.11.1-69 - Add systemd_status_all_unit_files() interface - Add support for nshadow