diff --git a/Changelog b/Changelog index 97c6488..3638a63 100644 --- a/Changelog +++ b/Changelog @@ -1,3 +1,4 @@ +- Russian man page translations from Andrey Markelov. - Remove unused types from dbus. - Add infrastructure for managing all user web content. - Deprecate some old file and dir permission set macros in favor of the diff --git a/man/ru/man8/ftpd_selinux.8 b/man/ru/man8/ftpd_selinux.8 new file mode 100644 index 0000000..efa915e --- /dev/null +++ b/man/ru/man8/ftpd_selinux.8 @@ -0,0 +1,57 @@ +.TH "ftpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ftpd Selinux Policy documentation" +.SH "НАЗВАНИЕ" +ftpd_selinux \- Политика Security Enhanced Linux для демона ftp +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа. +.SH КОНТЕКСТ ФАЙЛОВ +SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. +Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный +доступ к файлам, вы должны присвоить этим файлам и директориям контекст public_content_t. +Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить контекст для этой директории при помощи утилиты chcon. +.TP +chcon -R -t public_content_t /var/ftp +.TP +Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны +установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon. +.TP +chcon -t public_content_rw_t /var/ftp/incoming +.TP +Вы также должны включить переключатель allow_ftpd_anon_write. +.TP +setsebool -P allow_ftpd_anon_write=1 +.TP +Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся +при обновлении контекстов, вы должны добавить записи в файл file_contexts.local. +.TP +/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local +.br +/var/ftp(/.*)? system_u:object_r:public_content_t +/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t + +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +Политика SELinux для демона ftp настроена исходя из принципа наименьших привелегий. Таким +образом, по умолчанию политика SELinux не позволяет пользователям заходить на сервер и +читать содержимое их домашних директорий. +.br +Если вы настраиваете данную машину как ftpd-сервер и хотите, чтобы пользователи могли получать +доступ к своим домашним директориям, то вам необходимо установить переключатель ftp_home_dir. +.TP +setsebool -P ftp_home_dir 1 +.TP +ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы +хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon. +.TP +setsebool -P ftpd_is_daemon 1 +.br +service vsftpd restart +.TP +Для управления настройками SELinux существует графическая утилита system-config-selinux. +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), ftpd(8), chcon(1), setsebool(8) + + diff --git a/man/ru/man8/httpd_selinux.8 b/man/ru/man8/httpd_selinux.8 new file mode 100644 index 0000000..a653b7d --- /dev/null +++ b/man/ru/man8/httpd_selinux.8 @@ -0,0 +1,137 @@ +.TH "httpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "httpd Selinux Policy documentation" +.de EX +.nf +.ft CW +.. +.de EE +.ft R +.fi +.. +.SH "НАЗВАНИЕ" +httpd_selinux \- Политика Security Enhanced Linux для демона httpd +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux обеспечивает защиту сервера httpd при помощи гибко настраиваемого мандатного контроля доступа. +.SH КОНТЕКСТ ФАЙЛОВ +SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. +Политика управляет видом доступа демона к этим файлам. +Политика SELinux для демона httpd позволяет пользователям настроить web-службы максимально безопасным методом с высокой степенью гибкости. +.PP +Для httpd определены следующие контексты файлов: +.EX +httpd_sys_content_t +.EE +- Установите контекст httpd_sys_content_t для содержимого, которое должно быть доступно для всех скриптов httpd и для самого демона. +.EX +httpd_sys_script_exec_t +.EE +- Установите контекст httpd_sys_script_exec_t для cgi-скриптов, чтобы разрешить им доступ ко всем sys-типам. +.EX +httpd_sys_script_ro_t +.EE +- Установите на файлы контекст httpd_sys_script_ro_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать данные, и при этом нужно запретить доступ другим не-sys скриптам. +.EX +httpd_sys_script_rw_t +.EE +- Установите на файлы контекст httpd_sys_script_rw_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и писать данные, и при этом нужно запретить доступ другим не-sys скриптам. +.EX +httpd_sys_script_ra_t +.EE +- Установите на файлы контекст httpd_sys_script_ra_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и добавлять данные, и при этом нужно запретить доступ другим не-sys скриптам. +.EX +httpd_unconfined_script_exec_t +.EE +- Установите на cgi-скрипты контекст httpd_unconfined_script_exec_t если вы хотите разрешить +им исполняться без какой-либо защиты SELinux. Такой способ должен использоваться только для +скриптов с очень комплексными требованиями, и только в случае, если все остальные варианты настройки не дали результата. Лучше использовать скрипты с контекстом httpd_unconfined_script_exec_t, чем выключать защиту SELinux для httpd. + +.SH ЗАМЕЧАНИЕ +Вместе с некоторыми политиками, вы можете определить дополнительные контексты файлов, основанные +на ролях, таких как user или staff. Может быть определен контекст httpd_user_script_exec_t, который будет иметь доступ только к "пользовательским" контекстам. + +.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ +Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный +доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t. +Данный контекст позволяет любому из выше перечисленных демонов читать содержимое. +Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны +установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для httpd вы должны выполнить команду: + +.EX +setsebool -P allow_httpd_anon_write=1 +.EE + +или + +.EX +setsebool -P allow_httpd_sys_script_anon_write=1 +.EE + +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +Политика SELinux настроена исходя из принципа наименьших привилегий. Таким образом, +по умолчанию SELinux препятствует работе некоторых http-скриптов. Политика httpd весьма +гибка, и существующие переключатели управляют политикой, позволяя httpd выполняться +с наименее возможными правами доступа. +.PP +Если вы хотите, чтобы httpd мог исполнять cgi-скрипты, установите переключатель httpd_enable_cgi +.EX +setsebool -P httpd_enable_cgi 1 +.EE + +.PP +По умолчанию демону httpd не разрешен доступ в домашние дерикториии пользователей. Если вы хотите разрешить доступ, вам необходимо установить переключатель httpd_enable_homedirs и изменить контекст +тех файлов в домашних директориях пользователей, к которым должен быть разрешен доступ. + +.EX +setsebool -P httpd_enable_homedirs 1 +chcon -R -t httpd_sys_content_t ~user/public_html +.EE + +.PP +По умолчанию демон httpd не имеет доступ к управляющему терминалу. В большинстве случаев такое +поведение является предпочтительным. Это связанно с тем, что злоумышленник может попытаться +использовать доступ к терминалу для получения привилегий. Однако, в некоторых ситуациях демон +httpd должен выводить запрос пароля для открытия файла сертификата и в таких случаях нужен доступ +к терминалу. Для того, чтобы разрешить доступ к терминалу, установите переключатель httpd_tty_comm. +.EX +setsebool -P httpd_tty_comm 1 +.EE + +.PP +httpd может быть настроен так, чтобы не разграничивать тип доступа к файлу на основании контекста. +Иными словами, ко всем файлам, имеющим контекст httpd разрешен доступ на чтение/запись/исполнение. +Установка этого переключателя в false, позволяет настроить политику безопасности таким образом, +что одина служба httpd не конфликтует с другой. +.EX +setsebool -P httpd_unified 0 +.EE + +.PP +Имеется возможность настроить httpd таким образом, чтобы отключить встроенную поддержку +скриптов (PHP). PHP и другие загружаемые модули работают в том же контексте, что и httpd. +Таким образом, если используются только внешние cgi-скрипты, некоторые из правил политики +разрешают httpd больший доступ к системе, чем необходимо. + +.EX +setsebool -P httpd_builtin_scripting 0 +.EE + +.PP +По умолчанию httpd-скриптам запрещено устанавливать внешние сетевые подключения. +Это не позволит хакеру, взломавшему ваш httpd-сервер, атаковать другие машины. +Если вашим скриптам необходимо иметь возможность подключения, установите переключатель +httpd_can_network_connect + +.EX +setsebool -P httpd_can_network_connect 1 +.EE + +.PP +Для управления настройками SELinux существует графическая утилита system-config-selinux. +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), httpd(8), chcon(1), setsebool(8) + + diff --git a/man/ru/man8/kerberos_selinux.8 b/man/ru/man8/kerberos_selinux.8 new file mode 100644 index 0000000..9f546dc --- /dev/null +++ b/man/ru/man8/kerberos_selinux.8 @@ -0,0 +1,30 @@ +.TH "kerberos_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "kerberos Selinux Policy documentation" +.de EX +.nf +.ft CW +.. +.de EE +.ft R +.fi +.. +.SH "НАЗВАНИЕ" +kerberos_selinux \- Политика Security Enhanced Linux для Kerberos. +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию Kerberos запрещен, поскольку требуется функционирование демонов, +которым предоставляется слишком обширный доступ к сети и некоторым чувствительным в плане безопасности файлам. + +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +.PP +Для того, чтобы система могла корректно работать в окружении Kerberos, вы должны установить переключатель allow_kerberos. +.EX +setsebool -P allow_kerberos 1 +.EE +.PP +Для управления настройками SELinux существует графическая утилита system-config-selinux. +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), kerberos(1), chcon(1), setsebool(8) diff --git a/man/ru/man8/named_selinux.8 b/man/ru/man8/named_selinux.8 new file mode 100644 index 0000000..9818f79 --- /dev/null +++ b/man/ru/man8/named_selinux.8 @@ -0,0 +1,31 @@ +.TH "named_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "named Selinux Policy documentation" +.de EX +.nf +.ft CW +.. +.de EE +.ft R +.fi +.. +.SH "НАЗВАНИЕ" +named_selinux \- Политика Security Enhanced Linux для демона Internet Name server (named) +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux обеспечивает защиту сервера named при помощи гибко настраиваемого мандатного контроля доступа. +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом, +по умолчанию политика SELinux не позволяет демону named осуществлять изменения файлов мастер-зоны. +Если вам необходимо, чтобы named мог обновлять файлы мастер-зоны, вы должны установить переключатель named_write_master_zones boolean. +.EX +setsebool -P named_write_master_zones 1 +.EE +.PP +Для управления настройками SELinux существует графическая утилита system-config-selinux. +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), named(8), chcon(1), setsebool(8) + + diff --git a/man/ru/man8/nfs_selinux.8 b/man/ru/man8/nfs_selinux.8 new file mode 100644 index 0000000..525513f --- /dev/null +++ b/man/ru/man8/nfs_selinux.8 @@ -0,0 +1,33 @@ +.TH "nfs_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "nfs Selinux Policy documentation" +.SH "НАЗВАНИЕ" +nfs_selinux \- Политика Security Enhanced Linux для NFS +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux защищает сервер nfs при помощи гибко настраиваемого мандатного контроля доступа. +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом, +по умолчанию политика SELinux не позволяет предоставлять доступ к файлам по nfs. Если вы хотите +разрешить доступ только на чтение к файлам этой машины по nfs, вы должны установить переключатель +nfs_export_all_ro. + +.TP +setsebool -P nfs_export_all_ro 1 +.TP +Если вы хотите разрешить доступ на чтение/запись, вы должны установить переключатель nfs_export_all_rw. +.TP +setsebool -P nfs_export_all_rw 1 + +.TP +Если вы хотите использовать удаленный NFS сервер для хранения домашних директорий этой машины, +то вы должны установить переключатель use_nfs_home_dir boolean. +.TP +setsebool -P use_nfs_home_dirs 1 +.TP +Для управления настройками SELinux существует графическая утилита +system-config-selinux. +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), chcon(1), setsebool(8) diff --git a/man/ru/man8/rsync_selinux.8 b/man/ru/man8/rsync_selinux.8 new file mode 100644 index 0000000..7b60605 --- /dev/null +++ b/man/ru/man8/rsync_selinux.8 @@ -0,0 +1,50 @@ +.TH "rsync_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "rsync Selinux Policy documentation" +.de EX +.nf +.ft CW +.. +.de EE +.ft R +.fi +.. +.SH "НАЗВАНИЕ" +rsync_selinux \- Политика Security Enhanced Linux для демона rsync +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux обеспечивает защиту сервера rsync при помощи гибко настраиваемого мандатного контроля доступа. +.SH КОНТЕКСТ ФАЙЛОВ +SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. +Политика управляет видом доступа демона к этим файлам. Если вы хотите предоставить доступ к файлам +при помощи демона rsync, вы должны присвоить этим файлам и директориям контекст +public_content_t. Таким образом, если вы создаете специальную директорию /var/rsync, то вам +необходимо установить контекст для этой директории при помощи утилиты chcon. +.TP +chcon -t public_content_t /var/rsync +.TP +Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся +при обновлении контекстов, вы должны добавить записи в файл file_contexts.local. +.EX +/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local +/var/rsync(/.*)? system_u:object_r:public_content_t +.EE + +.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ +Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный +доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t. +Данный контекст позволяет любому из выше перечисленных демонов читать содержимое. +Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны +установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для rsync вы должны выполнить команду: + +.EX +setsebool -P allow_rsync_anon_write=1 +.EE + +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +.TP +Для управления настройками SELinux существует графическая утилита system-config-selinux. +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), rsync(1), chcon(1), setsebool(8) diff --git a/man/ru/man8/samba_selinux.8 b/man/ru/man8/samba_selinux.8 new file mode 100644 index 0000000..9a16863 --- /dev/null +++ b/man/ru/man8/samba_selinux.8 @@ -0,0 +1,60 @@ +.TH "samba_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation" +.SH "НАЗВАНИЕ" +samba_selinux \- Политика Security Enhanced Linux для Samba +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа. +.SH КОНТЕКСТ ФАЙЛОВ +SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. +Политика управляет видом доступа демона к этим файлам. +Если вы хотите предоставить доступ к файлам вовне домашних директорий, этим файлам необходимо +присвоить контекст samba_share_t. +Таким образом, если вы создаете специальную директорию /var/eng, то вам необходимо +установить контекст для этой директории при помощи утилиты chcon. +.TP +chcon -t samba_share_t /var/eng +.TP + +Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся +при обновлении контекстов, вы должны добавить записи в файл file_contexts.local. +.TP +/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local +.br +/var/eng(/.*)? system_u:object_r:samba_share_t + +.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ +Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный +доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t. +Данный контекст позволяет любому из выше перечисленных демонов читать содержимое. +Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны +установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить команду: + +setsebool -P allow_smbd_anon_write=1 + +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +.br +Политика SELinux настраивается исходя из принципа наименьших привилегий. +Таким образом, по умолчанию политика SELinux не позволяет предоставлять удаленный доступ +к домашним директориям и не позволяет использовать удаленный сервер Samba для хранения +домашних директорий. +.TP +Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним +директориям, вы должны установить переключатель samba_enable_home_dirs. +.br + +setsebool -P samba_enable_home_dirs 1 +.TP +Если вы хотите для хранения домашних директорий пользователей этой машины использовать удаленный +сервер Samba, вы должны установить переключатель use_samba_home_dirs. +.br + +setsebool -P use_samba_home_dirs 1 +.TP +Для управления настройками SELinux существует графическая утилита system-config-selinux. + +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), samba(7), chcon(1), setsebool(8) diff --git a/man/ru/man8/ypbind_selinux.8 b/man/ru/man8/ypbind_selinux.8 new file mode 100644 index 0000000..a6c084a --- /dev/null +++ b/man/ru/man8/ypbind_selinux.8 @@ -0,0 +1,19 @@ +.TH "ypbind_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ypbind Selinux Policy documentation" +.SH "НАЗВАНИЕ" +ypbind_selinux \- Политика Security Enhanced Linux для NIS. +.SH "ОПИСАНИЕ" + +Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию работа NIS запрещена. Это является следствием того, что демоны NIS требуют слишком обширного доступа к сети. +.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS) +.TP +Для того, чтобы система могла работать в окружении NIS, вы должны установить переключатель allow_ypbind. +.TP +setsebool -P allow_ypbind 1 +.TP +Для управления настройками SELinux существует графическая утилита system-config-selinux. +.SH АВТОРЫ +Эту страницу руководства написал Dan Walsh . +Перевод руководства - Андрей Маркелов , 2007г. + +.SH "СМОТРИ ТАКЖЕ" +selinux(8), ypbind(8), chcon(1), setsebool(8)