trunk: Russian man page translations from Andrey Markelov.
This commit is contained in:
parent
495df41602
commit
164772b537
@ -1,3 +1,4 @@
|
|||||||
|
- Russian man page translations from Andrey Markelov.
|
||||||
- Remove unused types from dbus.
|
- Remove unused types from dbus.
|
||||||
- Add infrastructure for managing all user web content.
|
- Add infrastructure for managing all user web content.
|
||||||
- Deprecate some old file and dir permission set macros in favor of the
|
- Deprecate some old file and dir permission set macros in favor of the
|
||||||
|
57
man/ru/man8/ftpd_selinux.8
Normal file
57
man/ru/man8/ftpd_selinux.8
Normal file
@ -0,0 +1,57 @@
|
|||||||
|
.TH "ftpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ftpd Selinux Policy documentation"
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
ftpd_selinux \- Политика Security Enhanced Linux для демона ftp
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный
|
||||||
|
доступ к файлам, вы должны присвоить этим файлам и директориям контекст public_content_t.
|
||||||
|
Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
.TP
|
||||||
|
chcon -R -t public_content_t /var/ftp
|
||||||
|
.TP
|
||||||
|
Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны
|
||||||
|
установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
.TP
|
||||||
|
chcon -t public_content_rw_t /var/ftp/incoming
|
||||||
|
.TP
|
||||||
|
Вы также должны включить переключатель allow_ftpd_anon_write.
|
||||||
|
.TP
|
||||||
|
setsebool -P allow_ftpd_anon_write=1
|
||||||
|
.TP
|
||||||
|
Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||||
|
при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||||
|
.TP
|
||||||
|
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||||
|
.br
|
||||||
|
/var/ftp(/.*)? system_u:object_r:public_content_t
|
||||||
|
/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t
|
||||||
|
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
Политика SELinux для демона ftp настроена исходя из принципа наименьших привелегий. Таким
|
||||||
|
образом, по умолчанию политика SELinux не позволяет пользователям заходить на сервер и
|
||||||
|
читать содержимое их домашних директорий.
|
||||||
|
.br
|
||||||
|
Если вы настраиваете данную машину как ftpd-сервер и хотите, чтобы пользователи могли получать
|
||||||
|
доступ к своим домашним директориям, то вам необходимо установить переключатель ftp_home_dir.
|
||||||
|
.TP
|
||||||
|
setsebool -P ftp_home_dir 1
|
||||||
|
.TP
|
||||||
|
ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы
|
||||||
|
хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon.
|
||||||
|
.TP
|
||||||
|
setsebool -P ftpd_is_daemon 1
|
||||||
|
.br
|
||||||
|
service vsftpd restart
|
||||||
|
.TP
|
||||||
|
Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), ftpd(8), chcon(1), setsebool(8)
|
||||||
|
|
||||||
|
|
137
man/ru/man8/httpd_selinux.8
Normal file
137
man/ru/man8/httpd_selinux.8
Normal file
@ -0,0 +1,137 @@
|
|||||||
|
.TH "httpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "httpd Selinux Policy documentation"
|
||||||
|
.de EX
|
||||||
|
.nf
|
||||||
|
.ft CW
|
||||||
|
..
|
||||||
|
.de EE
|
||||||
|
.ft R
|
||||||
|
.fi
|
||||||
|
..
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
httpd_selinux \- Политика Security Enhanced Linux для демона httpd
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux обеспечивает защиту сервера httpd при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
Политика управляет видом доступа демона к этим файлам.
|
||||||
|
Политика SELinux для демона httpd позволяет пользователям настроить web-службы максимально безопасным методом с высокой степенью гибкости.
|
||||||
|
.PP
|
||||||
|
Для httpd определены следующие контексты файлов:
|
||||||
|
.EX
|
||||||
|
httpd_sys_content_t
|
||||||
|
.EE
|
||||||
|
- Установите контекст httpd_sys_content_t для содержимого, которое должно быть доступно для всех скриптов httpd и для самого демона.
|
||||||
|
.EX
|
||||||
|
httpd_sys_script_exec_t
|
||||||
|
.EE
|
||||||
|
- Установите контекст httpd_sys_script_exec_t для cgi-скриптов, чтобы разрешить им доступ ко всем sys-типам.
|
||||||
|
.EX
|
||||||
|
httpd_sys_script_ro_t
|
||||||
|
.EE
|
||||||
|
- Установите на файлы контекст httpd_sys_script_ro_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||||
|
.EX
|
||||||
|
httpd_sys_script_rw_t
|
||||||
|
.EE
|
||||||
|
- Установите на файлы контекст httpd_sys_script_rw_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и писать данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||||
|
.EX
|
||||||
|
httpd_sys_script_ra_t
|
||||||
|
.EE
|
||||||
|
- Установите на файлы контекст httpd_sys_script_ra_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и добавлять данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||||
|
.EX
|
||||||
|
httpd_unconfined_script_exec_t
|
||||||
|
.EE
|
||||||
|
- Установите на cgi-скрипты контекст httpd_unconfined_script_exec_t если вы хотите разрешить
|
||||||
|
им исполняться без какой-либо защиты SELinux. Такой способ должен использоваться только для
|
||||||
|
скриптов с очень комплексными требованиями, и только в случае, если все остальные варианты настройки не дали результата. Лучше использовать скрипты с контекстом httpd_unconfined_script_exec_t, чем выключать защиту SELinux для httpd.
|
||||||
|
|
||||||
|
.SH ЗАМЕЧАНИЕ
|
||||||
|
Вместе с некоторыми политиками, вы можете определить дополнительные контексты файлов, основанные
|
||||||
|
на ролях, таких как user или staff. Может быть определен контекст httpd_user_script_exec_t, который будет иметь доступ только к "пользовательским" контекстам.
|
||||||
|
|
||||||
|
.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||||
|
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||||
|
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||||
|
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||||
|
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||||
|
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для httpd вы должны выполнить команду:
|
||||||
|
|
||||||
|
.EX
|
||||||
|
setsebool -P allow_httpd_anon_write=1
|
||||||
|
.EE
|
||||||
|
|
||||||
|
или
|
||||||
|
|
||||||
|
.EX
|
||||||
|
setsebool -P allow_httpd_sys_script_anon_write=1
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
Политика SELinux настроена исходя из принципа наименьших привилегий. Таким образом,
|
||||||
|
по умолчанию SELinux препятствует работе некоторых http-скриптов. Политика httpd весьма
|
||||||
|
гибка, и существующие переключатели управляют политикой, позволяя httpd выполняться
|
||||||
|
с наименее возможными правами доступа.
|
||||||
|
.PP
|
||||||
|
Если вы хотите, чтобы httpd мог исполнять cgi-скрипты, установите переключатель httpd_enable_cgi
|
||||||
|
.EX
|
||||||
|
setsebool -P httpd_enable_cgi 1
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.PP
|
||||||
|
По умолчанию демону httpd не разрешен доступ в домашние дерикториии пользователей. Если вы хотите разрешить доступ, вам необходимо установить переключатель httpd_enable_homedirs и изменить контекст
|
||||||
|
тех файлов в домашних директориях пользователей, к которым должен быть разрешен доступ.
|
||||||
|
|
||||||
|
.EX
|
||||||
|
setsebool -P httpd_enable_homedirs 1
|
||||||
|
chcon -R -t httpd_sys_content_t ~user/public_html
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.PP
|
||||||
|
По умолчанию демон httpd не имеет доступ к управляющему терминалу. В большинстве случаев такое
|
||||||
|
поведение является предпочтительным. Это связанно с тем, что злоумышленник может попытаться
|
||||||
|
использовать доступ к терминалу для получения привилегий. Однако, в некоторых ситуациях демон
|
||||||
|
httpd должен выводить запрос пароля для открытия файла сертификата и в таких случаях нужен доступ
|
||||||
|
к терминалу. Для того, чтобы разрешить доступ к терминалу, установите переключатель httpd_tty_comm.
|
||||||
|
.EX
|
||||||
|
setsebool -P httpd_tty_comm 1
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.PP
|
||||||
|
httpd может быть настроен так, чтобы не разграничивать тип доступа к файлу на основании контекста.
|
||||||
|
Иными словами, ко всем файлам, имеющим контекст httpd разрешен доступ на чтение/запись/исполнение.
|
||||||
|
Установка этого переключателя в false, позволяет настроить политику безопасности таким образом,
|
||||||
|
что одина служба httpd не конфликтует с другой.
|
||||||
|
.EX
|
||||||
|
setsebool -P httpd_unified 0
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.PP
|
||||||
|
Имеется возможность настроить httpd таким образом, чтобы отключить встроенную поддержку
|
||||||
|
скриптов (PHP). PHP и другие загружаемые модули работают в том же контексте, что и httpd.
|
||||||
|
Таким образом, если используются только внешние cgi-скрипты, некоторые из правил политики
|
||||||
|
разрешают httpd больший доступ к системе, чем необходимо.
|
||||||
|
|
||||||
|
.EX
|
||||||
|
setsebool -P httpd_builtin_scripting 0
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.PP
|
||||||
|
По умолчанию httpd-скриптам запрещено устанавливать внешние сетевые подключения.
|
||||||
|
Это не позволит хакеру, взломавшему ваш httpd-сервер, атаковать другие машины.
|
||||||
|
Если вашим скриптам необходимо иметь возможность подключения, установите переключатель
|
||||||
|
httpd_can_network_connect
|
||||||
|
|
||||||
|
.EX
|
||||||
|
setsebool -P httpd_can_network_connect 1
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.PP
|
||||||
|
Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), httpd(8), chcon(1), setsebool(8)
|
||||||
|
|
||||||
|
|
30
man/ru/man8/kerberos_selinux.8
Normal file
30
man/ru/man8/kerberos_selinux.8
Normal file
@ -0,0 +1,30 @@
|
|||||||
|
.TH "kerberos_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "kerberos Selinux Policy documentation"
|
||||||
|
.de EX
|
||||||
|
.nf
|
||||||
|
.ft CW
|
||||||
|
..
|
||||||
|
.de EE
|
||||||
|
.ft R
|
||||||
|
.fi
|
||||||
|
..
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
kerberos_selinux \- Политика Security Enhanced Linux для Kerberos.
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию Kerberos запрещен, поскольку требуется функционирование демонов,
|
||||||
|
которым предоставляется слишком обширный доступ к сети и некоторым чувствительным в плане безопасности файлам.
|
||||||
|
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
.PP
|
||||||
|
Для того, чтобы система могла корректно работать в окружении Kerberos, вы должны установить переключатель allow_kerberos.
|
||||||
|
.EX
|
||||||
|
setsebool -P allow_kerberos 1
|
||||||
|
.EE
|
||||||
|
.PP
|
||||||
|
Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), kerberos(1), chcon(1), setsebool(8)
|
31
man/ru/man8/named_selinux.8
Normal file
31
man/ru/man8/named_selinux.8
Normal file
@ -0,0 +1,31 @@
|
|||||||
|
.TH "named_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "named Selinux Policy documentation"
|
||||||
|
.de EX
|
||||||
|
.nf
|
||||||
|
.ft CW
|
||||||
|
..
|
||||||
|
.de EE
|
||||||
|
.ft R
|
||||||
|
.fi
|
||||||
|
..
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
named_selinux \- Политика Security Enhanced Linux для демона Internet Name server (named)
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux обеспечивает защиту сервера named при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
|
||||||
|
по умолчанию политика SELinux не позволяет демону named осуществлять изменения файлов мастер-зоны.
|
||||||
|
Если вам необходимо, чтобы named мог обновлять файлы мастер-зоны, вы должны установить переключатель named_write_master_zones boolean.
|
||||||
|
.EX
|
||||||
|
setsebool -P named_write_master_zones 1
|
||||||
|
.EE
|
||||||
|
.PP
|
||||||
|
Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), named(8), chcon(1), setsebool(8)
|
||||||
|
|
||||||
|
|
33
man/ru/man8/nfs_selinux.8
Normal file
33
man/ru/man8/nfs_selinux.8
Normal file
@ -0,0 +1,33 @@
|
|||||||
|
.TH "nfs_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "nfs Selinux Policy documentation"
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
nfs_selinux \- Политика Security Enhanced Linux для NFS
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux защищает сервер nfs при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
|
||||||
|
по умолчанию политика SELinux не позволяет предоставлять доступ к файлам по nfs. Если вы хотите
|
||||||
|
разрешить доступ только на чтение к файлам этой машины по nfs, вы должны установить переключатель
|
||||||
|
nfs_export_all_ro.
|
||||||
|
|
||||||
|
.TP
|
||||||
|
setsebool -P nfs_export_all_ro 1
|
||||||
|
.TP
|
||||||
|
Если вы хотите разрешить доступ на чтение/запись, вы должны установить переключатель nfs_export_all_rw.
|
||||||
|
.TP
|
||||||
|
setsebool -P nfs_export_all_rw 1
|
||||||
|
|
||||||
|
.TP
|
||||||
|
Если вы хотите использовать удаленный NFS сервер для хранения домашних директорий этой машины,
|
||||||
|
то вы должны установить переключатель use_nfs_home_dir boolean.
|
||||||
|
.TP
|
||||||
|
setsebool -P use_nfs_home_dirs 1
|
||||||
|
.TP
|
||||||
|
Для управления настройками SELinux существует графическая утилита
|
||||||
|
system-config-selinux.
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), chcon(1), setsebool(8)
|
50
man/ru/man8/rsync_selinux.8
Normal file
50
man/ru/man8/rsync_selinux.8
Normal file
@ -0,0 +1,50 @@
|
|||||||
|
.TH "rsync_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "rsync Selinux Policy documentation"
|
||||||
|
.de EX
|
||||||
|
.nf
|
||||||
|
.ft CW
|
||||||
|
..
|
||||||
|
.de EE
|
||||||
|
.ft R
|
||||||
|
.fi
|
||||||
|
..
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
rsync_selinux \- Политика Security Enhanced Linux для демона rsync
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux обеспечивает защиту сервера rsync при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
Политика управляет видом доступа демона к этим файлам. Если вы хотите предоставить доступ к файлам
|
||||||
|
при помощи демона rsync, вы должны присвоить этим файлам и директориям контекст
|
||||||
|
public_content_t. Таким образом, если вы создаете специальную директорию /var/rsync, то вам
|
||||||
|
необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
.TP
|
||||||
|
chcon -t public_content_t /var/rsync
|
||||||
|
.TP
|
||||||
|
Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||||
|
при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||||
|
.EX
|
||||||
|
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||||
|
/var/rsync(/.*)? system_u:object_r:public_content_t
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||||
|
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||||
|
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||||
|
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||||
|
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||||
|
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для rsync вы должны выполнить команду:
|
||||||
|
|
||||||
|
.EX
|
||||||
|
setsebool -P allow_rsync_anon_write=1
|
||||||
|
.EE
|
||||||
|
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
.TP
|
||||||
|
Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), rsync(1), chcon(1), setsebool(8)
|
60
man/ru/man8/samba_selinux.8
Normal file
60
man/ru/man8/samba_selinux.8
Normal file
@ -0,0 +1,60 @@
|
|||||||
|
.TH "samba_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation"
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
samba_selinux \- Политика Security Enhanced Linux для Samba
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
Политика управляет видом доступа демона к этим файлам.
|
||||||
|
Если вы хотите предоставить доступ к файлам вовне домашних директорий, этим файлам необходимо
|
||||||
|
присвоить контекст samba_share_t.
|
||||||
|
Таким образом, если вы создаете специальную директорию /var/eng, то вам необходимо
|
||||||
|
установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
.TP
|
||||||
|
chcon -t samba_share_t /var/eng
|
||||||
|
.TP
|
||||||
|
|
||||||
|
Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||||
|
при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||||
|
.TP
|
||||||
|
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||||
|
.br
|
||||||
|
/var/eng(/.*)? system_u:object_r:samba_share_t
|
||||||
|
|
||||||
|
.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||||
|
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||||
|
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||||
|
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||||
|
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||||
|
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить команду:
|
||||||
|
|
||||||
|
setsebool -P allow_smbd_anon_write=1
|
||||||
|
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
.br
|
||||||
|
Политика SELinux настраивается исходя из принципа наименьших привилегий.
|
||||||
|
Таким образом, по умолчанию политика SELinux не позволяет предоставлять удаленный доступ
|
||||||
|
к домашним директориям и не позволяет использовать удаленный сервер Samba для хранения
|
||||||
|
домашних директорий.
|
||||||
|
.TP
|
||||||
|
Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним
|
||||||
|
директориям, вы должны установить переключатель samba_enable_home_dirs.
|
||||||
|
.br
|
||||||
|
|
||||||
|
setsebool -P samba_enable_home_dirs 1
|
||||||
|
.TP
|
||||||
|
Если вы хотите для хранения домашних директорий пользователей этой машины использовать удаленный
|
||||||
|
сервер Samba, вы должны установить переключатель use_samba_home_dirs.
|
||||||
|
.br
|
||||||
|
|
||||||
|
setsebool -P use_samba_home_dirs 1
|
||||||
|
.TP
|
||||||
|
Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), samba(7), chcon(1), setsebool(8)
|
19
man/ru/man8/ypbind_selinux.8
Normal file
19
man/ru/man8/ypbind_selinux.8
Normal file
@ -0,0 +1,19 @@
|
|||||||
|
.TH "ypbind_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ypbind Selinux Policy documentation"
|
||||||
|
.SH "НАЗВАНИЕ"
|
||||||
|
ypbind_selinux \- Политика Security Enhanced Linux для NIS.
|
||||||
|
.SH "ОПИСАНИЕ"
|
||||||
|
|
||||||
|
Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию работа NIS запрещена. Это является следствием того, что демоны NIS требуют слишком обширного доступа к сети.
|
||||||
|
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
.TP
|
||||||
|
Для того, чтобы система могла работать в окружении NIS, вы должны установить переключатель allow_ypbind.
|
||||||
|
.TP
|
||||||
|
setsebool -P allow_ypbind 1
|
||||||
|
.TP
|
||||||
|
Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
.SH АВТОРЫ
|
||||||
|
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
|
||||||
|
.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
selinux(8), ypbind(8), chcon(1), setsebool(8)
|
Loading…
Reference in New Issue
Block a user