- Fixes for consolekit and startx sessions
This commit is contained in:
Daniel J Walsh
parent
915a9f26cc
commit
28021c8d41
@ -266,6 +266,455 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/man8/httpd_selinux.8 ser
|
||||
.EX
|
||||
httpd_sys_script_rw_t
|
||||
.EE
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/ftpd_selinux.8 serefpolicy-3.0.8/man/ru/man8/ftpd_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/ftpd_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/ftpd_selinux.8 2007-09-07 05:00:11.000000000 -0400
|
||||
@@ -0,0 +1,57 @@
|
||||
+.TH "ftpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ftpd Selinux Policy documentation"
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+ftpd_selinux \- Политика Security Enhanced Linux для демона ftp
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа.
|
||||
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||
+Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный
|
||||
+доступ к файлам, вы должны присвоить этим файлам и директориям контекст public_content_t.
|
||||
+Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||
+.TP
|
||||
+chcon -R -t public_content_t /var/ftp
|
||||
+.TP
|
||||
+Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны
|
||||
+установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||
+.TP
|
||||
+chcon -t public_content_rw_t /var/ftp/incoming
|
||||
+.TP
|
||||
+Вы также должны включить переключатель allow_ftpd_anon_write.
|
||||
+.TP
|
||||
+setsebool -P allow_ftpd_anon_write=1
|
||||
+.TP
|
||||
+Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||
+при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||
+.TP
|
||||
+/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||
+.br
|
||||
+/var/ftp(/.*)? system_u:object_r:public_content_t
|
||||
+/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t
|
||||
+
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+Политика SELinux для демона ftp настроена исходя из принципа наименьших привелегий. Таким
|
||||
+образом, по умолчанию политика SELinux не позволяет пользователям заходить на сервер и
|
||||
+читать содержимое их домашних директорий.
|
||||
+.br
|
||||
+Если вы настраиваете данную машину как ftpd-сервер и хотите, чтобы пользователи могли получать
|
||||
+доступ к своим домашним директориям, то вам необходимо установить переключатель ftp_home_dir.
|
||||
+.TP
|
||||
+setsebool -P ftp_home_dir 1
|
||||
+.TP
|
||||
+ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы
|
||||
+хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon.
|
||||
+.TP
|
||||
+setsebool -P ftpd_is_daemon 1
|
||||
+.br
|
||||
+service vsftpd restart
|
||||
+.TP
|
||||
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), ftpd(8), chcon(1), setsebool(8)
|
||||
+
|
||||
+
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/httpd_selinux.8 serefpolicy-3.0.8/man/ru/man8/httpd_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/httpd_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/httpd_selinux.8 2007-09-26 04:12:15.000000000 -0400
|
||||
@@ -0,0 +1,137 @@
|
||||
+.TH "httpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "httpd Selinux Policy documentation"
|
||||
+.de EX
|
||||
+.nf
|
||||
+.ft CW
|
||||
+..
|
||||
+.de EE
|
||||
+.ft R
|
||||
+.fi
|
||||
+..
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+httpd_selinux \- Политика Security Enhanced Linux для демона httpd
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux обеспечивает защиту сервера httpd при помощи гибко настраиваемого мандатного контроля доступа.
|
||||
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||
+Политика управляет видом доступа демона к этим файлам.
|
||||
+Политика SELinux для демона httpd позволяет пользователям настроить web-службы максимально безопасным методом с высокой степенью гибкости.
|
||||
+.PP
|
||||
+Для httpd определены следующие контексты файлов:
|
||||
+.EX
|
||||
+httpd_sys_content_t
|
||||
+.EE
|
||||
+- Установите контекст httpd_sys_content_t для содержимого, которое должно быть доступно для всех скриптов httpd и для самого демона.
|
||||
+.EX
|
||||
+httpd_sys_script_exec_t
|
||||
+.EE
|
||||
+- Установите контекст httpd_sys_script_exec_t для cgi-скриптов, чтобы разрешить им доступ ко всем sys-типам.
|
||||
+.EX
|
||||
+httpd_sys_script_ro_t
|
||||
+.EE
|
||||
+- Установите на файлы контекст httpd_sys_script_ro_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||
+.EX
|
||||
+httpd_sys_script_rw_t
|
||||
+.EE
|
||||
+- Установите на файлы контекст httpd_sys_script_rw_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и писать данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||
+.EX
|
||||
+httpd_sys_script_ra_t
|
||||
+.EE
|
||||
+- Установите на файлы контекст httpd_sys_script_ra_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и добавлять данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||
+.EX
|
||||
+httpd_unconfined_script_exec_t
|
||||
+.EE
|
||||
+- Установите на cgi-скрипты контекст httpd_unconfined_script_exec_t если вы хотите разрешить
|
||||
+им исполняться без какой-либо защиты SELinux. Такой способ должен использоваться только для
|
||||
+скриптов с очень комплексными требованиями, и только в случае, если все остальные варианты настройки не дали результата. Лучше использовать скрипты с контекстом httpd_unconfined_script_exec_t, чем выключать защиту SELinux для httpd.
|
||||
+
|
||||
+.SH ЗАМЕЧАНИЕ
|
||||
+Вместе с некоторыми политиками, вы можете определить дополнительные контексты файлов, основанные
|
||||
+на ролях, таких как user или staff. Может быть определен контекст httpd_user_script_exec_t, который будет иметь доступ только к "пользовательским" контекстам.
|
||||
+
|
||||
+.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||
+Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||
+доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||
+Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||
+Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||
+установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для httpd вы должны выполнить команду:
|
||||
+
|
||||
+.EX
|
||||
+setsebool -P allow_httpd_anon_write=1
|
||||
+.EE
|
||||
+
|
||||
+или
|
||||
+
|
||||
+.EX
|
||||
+setsebool -P allow_httpd_sys_script_anon_write=1
|
||||
+.EE
|
||||
+
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+Политика SELinux настроена исходя из принципа наименьших привилегий. Таким образом,
|
||||
+по умолчанию SELinux препятствует работе некоторых http-скриптов. Политика httpd весьма
|
||||
+гибка, и существующие переключатели управляют политикой, позволяя httpd выполняться
|
||||
+с наименее возможными правами доступа.
|
||||
+.PP
|
||||
+Если вы хотите, чтобы httpd мог исполнять cgi-скрипты, установите переключатель httpd_enable_cgi
|
||||
+.EX
|
||||
+setsebool -P httpd_enable_cgi 1
|
||||
+.EE
|
||||
+
|
||||
+.PP
|
||||
+По умолчанию демону httpd не разрешен доступ в домашние дерикториии пользователей. Если вы хотите разрешить доступ, вам необходимо установить переключатель httpd_enable_homedirs и изменить контекст
|
||||
+тех файлов в домашних директориях пользователей, к которым должен быть разрешен доступ.
|
||||
+
|
||||
+.EX
|
||||
+setsebool -P httpd_enable_homedirs 1
|
||||
+chcon -R -t httpd_sys_content_t ~user/public_html
|
||||
+.EE
|
||||
+
|
||||
+.PP
|
||||
+По умолчанию демон httpd не имеет доступ к управляющему терминалу. В большинстве случаев такое
|
||||
+поведение является предпочтительным. Это связанно с тем, что злоумышленник может попытаться
|
||||
+использовать доступ к терминалу для получения привилегий. Однако, в некоторых ситуациях демон
|
||||
+httpd должен выводить запрос пароля для открытия файла сертификата и в таких случаях нужен доступ
|
||||
+к терминалу. Для того, чтобы разрешить доступ к терминалу, установите переключатель httpd_tty_comm.
|
||||
+.EX
|
||||
+setsebool -P httpd_tty_comm 1
|
||||
+.EE
|
||||
+
|
||||
+.PP
|
||||
+httpd может быть настроен так, чтобы не разграничивать тип доступа к файлу на основании контекста.
|
||||
+Иными словами, ко всем файлам, имеющим контекст httpd разрешен доступ на чтение/запись/исполнение.
|
||||
+Установка этого переключателя в false, позволяет настроить политику безопасности таким образом,
|
||||
+что одина служба httpd не конфликтует с другой.
|
||||
+.EX
|
||||
+setsebool -P httpd_unified 0
|
||||
+.EE
|
||||
+
|
||||
+.PP
|
||||
+Имеется возможность настроить httpd таким образом, чтобы отключить встроенную поддержку
|
||||
+скриптов (PHP). PHP и другие загружаемые модули работают в том же контексте, что и httpd.
|
||||
+Таким образом, если используются только внешние cgi-скрипты, некоторые из правил политики
|
||||
+разрешают httpd больший доступ к системе, чем необходимо.
|
||||
+
|
||||
+.EX
|
||||
+setsebool -P httpd_builtin_scripting 0
|
||||
+.EE
|
||||
+
|
||||
+.PP
|
||||
+По умолчанию httpd-скриптам запрещено устанавливать внешние сетевые подключения.
|
||||
+Это не позволит хакеру, взломавшему ваш httpd-сервер, атаковать другие машины.
|
||||
+Если вашим скриптам необходимо иметь возможность подключения, установите переключатель
|
||||
+httpd_can_network_connect
|
||||
+
|
||||
+.EX
|
||||
+setsebool -P httpd_can_network_connect 1
|
||||
+.EE
|
||||
+
|
||||
+.PP
|
||||
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), httpd(8), chcon(1), setsebool(8)
|
||||
+
|
||||
+
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/kerberos_selinux.8 serefpolicy-3.0.8/man/ru/man8/kerberos_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/kerberos_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/kerberos_selinux.8 2007-09-07 04:59:04.000000000 -0400
|
||||
@@ -0,0 +1,30 @@
|
||||
+.TH "kerberos_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "kerberos Selinux Policy documentation"
|
||||
+.de EX
|
||||
+.nf
|
||||
+.ft CW
|
||||
+..
|
||||
+.de EE
|
||||
+.ft R
|
||||
+.fi
|
||||
+..
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+kerberos_selinux \- Политика Security Enhanced Linux для Kerberos.
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию Kerberos запрещен, поскольку требуется функционирование демонов,
|
||||
+которым предоставляется слишком обширный доступ к сети и некоторым чувствительным в плане безопасности файлам.
|
||||
+
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+.PP
|
||||
+Для того, чтобы система могла корректно работать в окружении Kerberos, вы должны установить переключатель allow_kerberos.
|
||||
+.EX
|
||||
+setsebool -P allow_kerberos 1
|
||||
+.EE
|
||||
+.PP
|
||||
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), kerberos(1), chcon(1), setsebool(8)
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/named_selinux.8 serefpolicy-3.0.8/man/ru/man8/named_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/named_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/named_selinux.8 2007-09-02 12:48:40.000000000 -0400
|
||||
@@ -0,0 +1,31 @@
|
||||
+.TH "named_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "named Selinux Policy documentation"
|
||||
+.de EX
|
||||
+.nf
|
||||
+.ft CW
|
||||
+..
|
||||
+.de EE
|
||||
+.ft R
|
||||
+.fi
|
||||
+..
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+named_selinux \- Политика Security Enhanced Linux для демона Internet Name server (named)
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux обеспечивает защиту сервера named при помощи гибко настраиваемого мандатного контроля доступа.
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
|
||||
+по умолчанию политика SELinux не позволяет демону named осуществлять изменения файлов мастер-зоны.
|
||||
+Если вам необходимо, чтобы named мог обновлять файлы мастер-зоны, вы должны установить переключатель named_write_master_zones boolean.
|
||||
+.EX
|
||||
+setsebool -P named_write_master_zones 1
|
||||
+.EE
|
||||
+.PP
|
||||
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), named(8), chcon(1), setsebool(8)
|
||||
+
|
||||
+
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/nfs_selinux.8 serefpolicy-3.0.8/man/ru/man8/nfs_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/nfs_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/nfs_selinux.8 2007-08-30 08:33:39.000000000 -0400
|
||||
@@ -0,0 +1,33 @@
|
||||
+.TH "nfs_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "nfs Selinux Policy documentation"
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+nfs_selinux \- Политика Security Enhanced Linux для NFS
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux защищает сервер nfs при помощи гибко настраиваемого мандатного контроля доступа.
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
|
||||
+по умолчанию политика SELinux не позволяет предоставлять доступ к файлам по nfs. Если вы хотите
|
||||
+разрешить доступ только на чтение к файлам этой машины по nfs, вы должны установить переключатель
|
||||
+nfs_export_all_ro.
|
||||
+
|
||||
+.TP
|
||||
+setsebool -P nfs_export_all_ro 1
|
||||
+.TP
|
||||
+Если вы хотите разрешить доступ на чтение/запись, вы должны установить переключатель nfs_export_all_rw.
|
||||
+.TP
|
||||
+setsebool -P nfs_export_all_rw 1
|
||||
+
|
||||
+.TP
|
||||
+Если вы хотите использовать удаленный NFS сервер для хранения домашних директорий этой машины,
|
||||
+то вы должны установить переключатель use_nfs_home_dir boolean.
|
||||
+.TP
|
||||
+setsebool -P use_nfs_home_dirs 1
|
||||
+.TP
|
||||
+Для управления настройками SELinux существует графическая утилита
|
||||
+system-config-selinux.
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), chcon(1), setsebool(8)
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/rsync_selinux.8 serefpolicy-3.0.8/man/ru/man8/rsync_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/rsync_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/rsync_selinux.8 2007-09-07 04:59:25.000000000 -0400
|
||||
@@ -0,0 +1,50 @@
|
||||
+.TH "rsync_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "rsync Selinux Policy documentation"
|
||||
+.de EX
|
||||
+.nf
|
||||
+.ft CW
|
||||
+..
|
||||
+.de EE
|
||||
+.ft R
|
||||
+.fi
|
||||
+..
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+rsync_selinux \- Политика Security Enhanced Linux для демона rsync
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux обеспечивает защиту сервера rsync при помощи гибко настраиваемого мандатного контроля доступа.
|
||||
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||
+Политика управляет видом доступа демона к этим файлам. Если вы хотите предоставить доступ к файлам
|
||||
+при помощи демона rsync, вы должны присвоить этим файлам и директориям контекст
|
||||
+public_content_t. Таким образом, если вы создаете специальную директорию /var/rsync, то вам
|
||||
+необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||
+.TP
|
||||
+chcon -t public_content_t /var/rsync
|
||||
+.TP
|
||||
+Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||
+при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||
+.EX
|
||||
+/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||
+/var/rsync(/.*)? system_u:object_r:public_content_t
|
||||
+.EE
|
||||
+
|
||||
+.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||
+Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||
+доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||
+Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||
+Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||
+установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для rsync вы должны выполнить команду:
|
||||
+
|
||||
+.EX
|
||||
+setsebool -P allow_rsync_anon_write=1
|
||||
+.EE
|
||||
+
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+.TP
|
||||
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), rsync(1), chcon(1), setsebool(8)
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/samba_selinux.8 serefpolicy-3.0.8/man/ru/man8/samba_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/samba_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/samba_selinux.8 2007-09-07 04:58:17.000000000 -0400
|
||||
@@ -0,0 +1,60 @@
|
||||
+.TH "samba_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation"
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+samba_selinux \- Политика Security Enhanced Linux для Samba
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа.
|
||||
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||
+Политика управляет видом доступа демона к этим файлам.
|
||||
+Если вы хотите предоставить доступ к файлам вовне домашних директорий, этим файлам необходимо
|
||||
+присвоить контекст samba_share_t.
|
||||
+Таким образом, если вы создаете специальную директорию /var/eng, то вам необходимо
|
||||
+установить контекст для этой директории при помощи утилиты chcon.
|
||||
+.TP
|
||||
+chcon -t samba_share_t /var/eng
|
||||
+.TP
|
||||
+
|
||||
+Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||
+при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||
+.TP
|
||||
+/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||
+.br
|
||||
+/var/eng(/.*)? system_u:object_r:samba_share_t
|
||||
+
|
||||
+.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||
+Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||
+доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||
+Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||
+Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||
+установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить команду:
|
||||
+
|
||||
+setsebool -P allow_smbd_anon_write=1
|
||||
+
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+.br
|
||||
+Политика SELinux настраивается исходя из принципа наименьших привилегий.
|
||||
+Таким образом, по умолчанию политика SELinux не позволяет предоставлять удаленный доступ
|
||||
+к домашним директориям и не позволяет использовать удаленный сервер Samba для хранения
|
||||
+домашних директорий.
|
||||
+.TP
|
||||
+Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним
|
||||
+директориям, вы должны установить переключатель samba_enable_home_dirs.
|
||||
+.br
|
||||
+
|
||||
+setsebool -P samba_enable_home_dirs 1
|
||||
+.TP
|
||||
+Если вы хотите для хранения домашних директорий пользователей этой машины использовать удаленный
|
||||
+сервер Samba, вы должны установить переключатель use_samba_home_dirs.
|
||||
+.br
|
||||
+
|
||||
+setsebool -P use_samba_home_dirs 1
|
||||
+.TP
|
||||
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||
+
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), samba(7), chcon(1), setsebool(8)
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/ypbind_selinux.8 serefpolicy-3.0.8/man/ru/man8/ypbind_selinux.8
|
||||
--- nsaserefpolicy/man/ru/man8/ypbind_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||
+++ serefpolicy-3.0.8/man/ru/man8/ypbind_selinux.8 2007-08-28 06:30:26.000000000 -0400
|
||||
@@ -0,0 +1,19 @@
|
||||
+.TH "ypbind_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ypbind Selinux Policy documentation"
|
||||
+.SH "НАЗВАНИЕ"
|
||||
+ypbind_selinux \- Политика Security Enhanced Linux для NIS.
|
||||
+.SH "ОПИСАНИЕ"
|
||||
+
|
||||
+Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию работа NIS запрещена. Это является следствием того, что демоны NIS требуют слишком обширного доступа к сети.
|
||||
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||
+.TP
|
||||
+Для того, чтобы система могла работать в окружении NIS, вы должны установить переключатель allow_ypbind.
|
||||
+.TP
|
||||
+setsebool -P allow_ypbind 1
|
||||
+.TP
|
||||
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||
+.SH АВТОРЫ
|
||||
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||
+
|
||||
+.SH "СМОТРИ ТАКЖЕ"
|
||||
+selinux(8), ypbind(8), chcon(1), setsebool(8)
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/flask/access_vectors serefpolicy-3.0.8/policy/flask/access_vectors
|
||||
--- nsaserefpolicy/policy/flask/access_vectors 2007-08-22 07:14:04.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/flask/access_vectors 2007-10-03 11:10:24.000000000 -0400
|
||||
@ -1227,7 +1676,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||
## <param name="domain">
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/usermanage.te serefpolicy-3.0.8/policy/modules/admin/usermanage.te
|
||||
--- nsaserefpolicy/policy/modules/admin/usermanage.te 2007-09-12 10:34:51.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/admin/usermanage.te 2007-10-03 11:10:24.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/admin/usermanage.te 2007-10-09 15:40:44.000000000 -0400
|
||||
@@ -92,6 +92,7 @@
|
||||
dev_read_urand(chfn_t)
|
||||
|
||||
@ -1236,7 +1685,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||
auth_dontaudit_read_shadow(chfn_t)
|
||||
|
||||
# allow checking if a shell is executable
|
||||
@@ -297,6 +298,7 @@
|
||||
@@ -297,9 +298,11 @@
|
||||
term_use_all_user_ttys(passwd_t)
|
||||
term_use_all_user_ptys(passwd_t)
|
||||
|
||||
@ -1244,7 +1693,11 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||
auth_manage_shadow(passwd_t)
|
||||
auth_relabel_shadow(passwd_t)
|
||||
auth_etc_filetrans_shadow(passwd_t)
|
||||
@@ -520,6 +522,10 @@
|
||||
+auth_use_nsswitch(passwd_t)
|
||||
|
||||
# allow checking if a shell is executable
|
||||
corecmd_check_exec_shell(passwd_t)
|
||||
@@ -520,6 +523,10 @@
|
||||
mta_manage_spool(useradd_t)
|
||||
|
||||
optional_policy(`
|
||||
@ -1255,7 +1708,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||
dpkg_use_fds(useradd_t)
|
||||
dpkg_rw_pipes(useradd_t)
|
||||
')
|
||||
@@ -529,6 +535,12 @@
|
||||
@@ -529,6 +536,12 @@
|
||||
')
|
||||
|
||||
optional_policy(`
|
||||
@ -3327,7 +3780,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/kernel
|
||||
optional_policy(`
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.if serefpolicy-3.0.8/policy/modules/kernel/selinux.if
|
||||
--- nsaserefpolicy/policy/modules/kernel/selinux.if 2007-07-03 07:05:38.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.if 2007-10-03 11:10:24.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.if 2007-10-09 16:03:39.000000000 -0400
|
||||
@@ -138,6 +138,7 @@
|
||||
type security_t;
|
||||
')
|
||||
@ -3394,7 +3847,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinu
|
||||
|
||||
if(!secure_mode_policyload) {
|
||||
allow $1 security_t:security setbool;
|
||||
@@ -463,3 +495,42 @@
|
||||
@@ -463,3 +495,23 @@
|
||||
|
||||
typeattribute $1 selinux_unconfined_type;
|
||||
')
|
||||
@ -3418,25 +3871,6 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinu
|
||||
+ fs_type($1)
|
||||
+ mls_trusted_object($1)
|
||||
+')
|
||||
+
|
||||
+########################################
|
||||
+## <summary>
|
||||
+## Generate a file context for a boolean type
|
||||
+## </summary>
|
||||
+## <param name="type">
|
||||
+## <summary>
|
||||
+## Type of the boolean
|
||||
+## </summary>
|
||||
+## </param>
|
||||
+## <param name="domain">
|
||||
+## <summary>
|
||||
+## name of the boolean
|
||||
+## </summary>
|
||||
+## </param>
|
||||
+#
|
||||
+interface(`selinux_genbool_mapping',`
|
||||
+ genfscon selinuxfs /booleans/$2 gen_context(system_u:object_r:$1,s0)
|
||||
+')
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.te serefpolicy-3.0.8/policy/modules/kernel/selinux.te
|
||||
--- nsaserefpolicy/policy/modules/kernel/selinux.te 2007-07-25 10:37:36.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.te 2007-10-03 11:10:24.000000000 -0400
|
||||
@ -4776,7 +5210,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||
+')
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/consolekit.te serefpolicy-3.0.8/policy/modules/services/consolekit.te
|
||||
--- nsaserefpolicy/policy/modules/services/consolekit.te 2007-07-25 10:37:42.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/consolekit.te 2007-10-03 11:10:24.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/consolekit.te 2007-10-09 15:34:31.000000000 -0400
|
||||
@@ -10,7 +10,6 @@
|
||||
type consolekit_exec_t;
|
||||
init_daemon_domain(consolekit_t, consolekit_exec_t)
|
||||
@ -4785,15 +5219,17 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||
type consolekit_var_run_t;
|
||||
files_pid_file(consolekit_var_run_t)
|
||||
|
||||
@@ -25,7 +24,6 @@
|
||||
@@ -25,7 +24,8 @@
|
||||
allow consolekit_t self:unix_stream_socket create_stream_socket_perms;
|
||||
allow consolekit_t self:unix_dgram_socket create_socket_perms;
|
||||
|
||||
-# pid file
|
||||
+auth_use_nsswitch(consolekit_t)
|
||||
+
|
||||
manage_files_pattern(consolekit_t,consolekit_var_run_t,consolekit_var_run_t)
|
||||
files_pid_filetrans(consolekit_t,consolekit_var_run_t, file)
|
||||
|
||||
@@ -38,6 +36,7 @@
|
||||
@@ -38,6 +38,7 @@
|
||||
|
||||
domain_read_all_domains_state(consolekit_t)
|
||||
domain_use_interactive_fds(consolekit_t)
|
||||
@ -4801,7 +5237,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||
|
||||
files_read_etc_files(consolekit_t)
|
||||
# needs to read /var/lib/dbus/machine-id
|
||||
@@ -50,8 +49,15 @@
|
||||
@@ -50,8 +51,15 @@
|
||||
libs_use_ld_so(consolekit_t)
|
||||
libs_use_shared_libs(consolekit_t)
|
||||
|
||||
@ -4817,7 +5253,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||
optional_policy(`
|
||||
dbus_system_bus_client_template(consolekit, consolekit_t)
|
||||
dbus_send_system_bus(consolekit_t)
|
||||
@@ -62,9 +68,16 @@
|
||||
@@ -62,9 +70,18 @@
|
||||
optional_policy(`
|
||||
unconfined_dbus_chat(consolekit_t)
|
||||
')
|
||||
@ -4827,6 +5263,8 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||
optional_policy(`
|
||||
xserver_read_all_users_xauth(consolekit_t)
|
||||
xserver_stream_connect_xdm_xserver(consolekit_t)
|
||||
+ # For homedirs without xauth labeling
|
||||
+ userdom_read_generic_user_home_content_files(consolekit_t)
|
||||
')
|
||||
+
|
||||
+optional_policy(`
|
||||
@ -7561,8 +7999,8 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||
## <param name="domain">
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.te serefpolicy-3.0.8/policy/modules/services/nis.te
|
||||
--- nsaserefpolicy/policy/modules/services/nis.te 2007-07-25 10:37:42.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/nis.te 2007-10-03 11:10:24.000000000 -0400
|
||||
@@ -113,6 +113,14 @@
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/nis.te 2007-10-09 16:44:03.000000000 -0400
|
||||
@@ -113,6 +113,18 @@
|
||||
userdom_dontaudit_use_unpriv_user_fds(ypbind_t)
|
||||
userdom_dontaudit_search_sysadm_home_dirs(ypbind_t)
|
||||
|
||||
@ -7572,12 +8010,16 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||
+ dbus_connect_system_bus(ypbind_t)
|
||||
+ dbus_send_system_bus(ypbind_t)
|
||||
+ init_dbus_chat_script(ypbind_t)
|
||||
+
|
||||
+ optional_policy(`
|
||||
+ networkmanager_dbus_chat(ypbind_t)
|
||||
+ ')
|
||||
+')
|
||||
+
|
||||
optional_policy(`
|
||||
seutil_sigchld_newrole(ypbind_t)
|
||||
')
|
||||
@@ -126,6 +134,7 @@
|
||||
@@ -126,6 +138,7 @@
|
||||
# yppasswdd local policy
|
||||
#
|
||||
|
||||
@ -7585,7 +8027,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||
dontaudit yppasswdd_t self:capability sys_tty_config;
|
||||
allow yppasswdd_t self:fifo_file rw_fifo_file_perms;
|
||||
allow yppasswdd_t self:process { setfscreate signal_perms };
|
||||
@@ -156,8 +165,8 @@
|
||||
@@ -156,8 +169,8 @@
|
||||
corenet_udp_sendrecv_all_ports(yppasswdd_t)
|
||||
corenet_tcp_bind_all_nodes(yppasswdd_t)
|
||||
corenet_udp_bind_all_nodes(yppasswdd_t)
|
||||
@ -7596,7 +8038,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||
corenet_dontaudit_tcp_bind_all_reserved_ports(yppasswdd_t)
|
||||
corenet_dontaudit_udp_bind_all_reserved_ports(yppasswdd_t)
|
||||
corenet_sendrecv_generic_server_packets(yppasswdd_t)
|
||||
@@ -247,6 +256,8 @@
|
||||
@@ -247,6 +260,8 @@
|
||||
corenet_udp_bind_all_nodes(ypserv_t)
|
||||
corenet_tcp_bind_reserved_port(ypserv_t)
|
||||
corenet_udp_bind_reserved_port(ypserv_t)
|
||||
@ -7605,7 +8047,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||
corenet_dontaudit_tcp_bind_all_reserved_ports(ypserv_t)
|
||||
corenet_dontaudit_udp_bind_all_reserved_ports(ypserv_t)
|
||||
corenet_sendrecv_generic_server_packets(ypserv_t)
|
||||
@@ -315,6 +326,8 @@
|
||||
@@ -315,6 +330,8 @@
|
||||
corenet_udp_bind_all_nodes(ypxfr_t)
|
||||
corenet_tcp_bind_reserved_port(ypxfr_t)
|
||||
corenet_udp_bind_reserved_port(ypxfr_t)
|
||||
@ -9065,7 +9507,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/samb
|
||||
+')
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/samba.te serefpolicy-3.0.8/policy/modules/services/samba.te
|
||||
--- nsaserefpolicy/policy/modules/services/samba.te 2007-07-25 10:37:42.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/samba.te 2007-10-03 11:10:25.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/samba.te 2007-10-09 11:56:37.000000000 -0400
|
||||
@@ -137,6 +137,11 @@
|
||||
type winbind_var_run_t;
|
||||
files_pid_file(winbind_var_run_t)
|
||||
@ -9982,7 +10424,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/squi
|
||||
+')
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.if serefpolicy-3.0.8/policy/modules/services/ssh.if
|
||||
--- nsaserefpolicy/policy/modules/services/ssh.if 2007-07-25 10:37:42.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/ssh.if 2007-10-03 11:10:25.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/ssh.if 2007-10-09 15:53:25.000000000 -0400
|
||||
@@ -202,6 +202,7 @@
|
||||
#
|
||||
template(`ssh_per_role_template',`
|
||||
@ -9991,7 +10433,15 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.
|
||||
type ssh_agent_exec_t, ssh_keysign_exec_t;
|
||||
')
|
||||
|
||||
@@ -520,6 +521,7 @@
|
||||
@@ -512,6 +513,7 @@
|
||||
|
||||
tunable_policy(`use_nfs_home_dirs',`
|
||||
fs_read_nfs_files($1_t)
|
||||
+ fs_read_nfs_symlinks($1_t)
|
||||
')
|
||||
|
||||
tunable_policy(`use_samba_home_dirs',`
|
||||
@@ -520,6 +522,7 @@
|
||||
|
||||
optional_policy(`
|
||||
kerberos_use($1_t)
|
||||
@ -9999,7 +10449,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.
|
||||
')
|
||||
|
||||
optional_policy(`
|
||||
@@ -708,3 +710,42 @@
|
||||
@@ -708,3 +711,42 @@
|
||||
|
||||
dontaudit $1 sshd_key_t:file { getattr read };
|
||||
')
|
||||
@ -10663,7 +11113,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||
+
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xserver.te serefpolicy-3.0.8/policy/modules/services/xserver.te
|
||||
--- nsaserefpolicy/policy/modules/services/xserver.te 2007-08-22 07:14:07.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/xserver.te 2007-10-03 11:10:25.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/services/xserver.te 2007-10-09 15:41:36.000000000 -0400
|
||||
@@ -16,6 +16,13 @@
|
||||
|
||||
## <desc>
|
||||
@ -10791,10 +11241,14 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||
|
||||
# Label pid and temporary files with derived types.
|
||||
manage_files_pattern(xdm_xserver_t,xdm_tmp_t,xdm_tmp_t)
|
||||
@@ -425,6 +447,10 @@
|
||||
@@ -425,6 +447,14 @@
|
||||
')
|
||||
|
||||
optional_policy(`
|
||||
+ locallogin_use_fds(xdm_xserver_t)
|
||||
+')
|
||||
+
|
||||
+optional_policy(`
|
||||
+ mono_rw_shm(xdm_xserver_t)
|
||||
+')
|
||||
+
|
||||
@ -10802,7 +11256,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||
resmgr_stream_connect(xdm_t)
|
||||
')
|
||||
|
||||
@@ -434,47 +460,20 @@
|
||||
@@ -434,47 +464,24 @@
|
||||
')
|
||||
|
||||
optional_policy(`
|
||||
@ -10818,13 +11272,13 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||
+ unconfined_rw_shm(xdm_xserver_t)
|
||||
+ unconfined_execmem_rw_shm(xdm_xserver_t)
|
||||
+ unconfined_rw_tmpfs_files(xdm_xserver_t)
|
||||
+')
|
||||
|
||||
- ifdef(`distro_rhel4',`
|
||||
- allow xdm_xserver_t self:process { execheap execmem };
|
||||
- ')
|
||||
+tunable_policy(`allow_xserver_execmem', `
|
||||
+ allow xdm_xserver_t self:process { execheap execmem };
|
||||
+ # xserver signals unconfined user on startx
|
||||
+ unconfined_signal(xdm_xserver_t)
|
||||
+ unconfined_getpgid(xdm_xserver_t)
|
||||
')
|
||||
|
||||
-ifdef(`TODO',`
|
||||
@ -10848,6 +11302,10 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||
-allow xdm_t polymember:lnk_file { create unlink };
|
||||
-# xdm needs access for copying .Xauthority into new home
|
||||
-allow xdm_t polymember:file { create getattr write };
|
||||
+tunable_policy(`allow_xserver_execmem', `
|
||||
+ allow xdm_xserver_t self:process { execheap execmem };
|
||||
+')
|
||||
+
|
||||
+ifdef(`distro_rhel4',`
|
||||
+ allow xdm_xserver_t self:process { execheap execmem };
|
||||
')
|
||||
@ -11289,7 +11747,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||
+
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlogin.te serefpolicy-3.0.8/policy/modules/system/authlogin.te
|
||||
--- nsaserefpolicy/policy/modules/system/authlogin.te 2007-08-22 07:14:12.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/authlogin.te 2007-10-03 11:10:25.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/authlogin.te 2007-10-09 15:40:02.000000000 -0400
|
||||
@@ -9,6 +9,13 @@
|
||||
attribute can_read_shadow_passwords;
|
||||
attribute can_write_shadow_passwords;
|
||||
@ -11325,7 +11783,22 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||
########################################
|
||||
#
|
||||
# PAM local policy
|
||||
@@ -149,6 +163,8 @@
|
||||
@@ -94,10 +108,14 @@
|
||||
allow pam_t pam_tmp_t:file manage_file_perms;
|
||||
files_tmp_filetrans(pam_t, pam_tmp_t, { file dir })
|
||||
|
||||
+auth_use_nsswitch(pam_t)
|
||||
+
|
||||
kernel_read_system_state(pam_t)
|
||||
|
||||
fs_search_auto_mountpoints(pam_t)
|
||||
|
||||
+miscfiles_read_localization(pam_t)
|
||||
+
|
||||
term_use_all_user_ttys(pam_t)
|
||||
term_use_all_user_ptys(pam_t)
|
||||
|
||||
@@ -149,6 +167,8 @@
|
||||
dev_setattr_apm_bios_dev(pam_console_t)
|
||||
dev_getattr_dri_dev(pam_console_t)
|
||||
dev_setattr_dri_dev(pam_console_t)
|
||||
@ -11334,7 +11807,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||
dev_getattr_framebuffer_dev(pam_console_t)
|
||||
dev_setattr_framebuffer_dev(pam_console_t)
|
||||
dev_getattr_generic_usb_dev(pam_console_t)
|
||||
@@ -159,6 +175,8 @@
|
||||
@@ -159,6 +179,8 @@
|
||||
dev_setattr_mouse_dev(pam_console_t)
|
||||
dev_getattr_power_mgmt_dev(pam_console_t)
|
||||
dev_setattr_power_mgmt_dev(pam_console_t)
|
||||
@ -11343,7 +11816,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||
dev_getattr_scanner_dev(pam_console_t)
|
||||
dev_setattr_scanner_dev(pam_console_t)
|
||||
dev_getattr_sound_dev(pam_console_t)
|
||||
@@ -200,6 +218,7 @@
|
||||
@@ -200,6 +222,7 @@
|
||||
|
||||
fs_list_auto_mountpoints(pam_console_t)
|
||||
fs_list_noxattr_fs(pam_console_t)
|
||||
@ -11351,7 +11824,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||
|
||||
init_use_fds(pam_console_t)
|
||||
init_use_script_ptys(pam_console_t)
|
||||
@@ -236,7 +255,7 @@
|
||||
@@ -236,7 +259,7 @@
|
||||
|
||||
optional_policy(`
|
||||
xserver_read_xdm_pid(pam_console_t)
|
||||
@ -11360,7 +11833,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||
')
|
||||
|
||||
########################################
|
||||
@@ -302,3 +321,28 @@
|
||||
@@ -302,3 +325,28 @@
|
||||
xserver_use_xdm_fds(utempter_t)
|
||||
xserver_rw_xdm_pipes(utempter_t)
|
||||
')
|
||||
@ -11570,7 +12043,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/hostna
|
||||
+')
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/init.if serefpolicy-3.0.8/policy/modules/system/init.if
|
||||
--- nsaserefpolicy/policy/modules/system/init.if 2007-08-22 07:14:12.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/init.if 2007-10-03 11:10:25.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/init.if 2007-10-09 16:04:58.000000000 -0400
|
||||
@@ -211,6 +211,21 @@
|
||||
kernel_dontaudit_use_fds($1)
|
||||
')
|
||||
@ -13261,7 +13734,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/mount.
|
||||
+
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/raid.te serefpolicy-3.0.8/policy/modules/system/raid.te
|
||||
--- nsaserefpolicy/policy/modules/system/raid.te 2007-09-12 10:34:51.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/raid.te 2007-10-03 11:10:25.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/raid.te 2007-10-09 16:01:10.000000000 -0400
|
||||
@@ -19,7 +19,7 @@
|
||||
# Local policy
|
||||
#
|
||||
@ -13271,6 +13744,14 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/raid.t
|
||||
dontaudit mdadm_t self:capability sys_tty_config;
|
||||
allow mdadm_t self:process { sigchld sigkill sigstop signull signal };
|
||||
allow mdadm_t self:fifo_file rw_fifo_file_perms;
|
||||
@@ -39,6 +39,7 @@
|
||||
dev_dontaudit_getattr_generic_files(mdadm_t)
|
||||
dev_dontaudit_getattr_generic_chr_files(mdadm_t)
|
||||
dev_dontaudit_getattr_generic_blk_files(mdadm_t)
|
||||
+dev_read_realtime_clock(mdadm_t)
|
||||
|
||||
fs_search_auto_mountpoints(mdadm_t)
|
||||
fs_dontaudit_list_tmpfs(mdadm_t)
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.fc serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc
|
||||
--- nsaserefpolicy/policy/modules/system/selinuxutil.fc 2007-05-30 11:47:29.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc 2007-10-04 10:32:45.000000000 -0400
|
||||
@ -13566,7 +14047,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||
+')
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.te serefpolicy-3.0.8/policy/modules/system/selinuxutil.te
|
||||
--- nsaserefpolicy/policy/modules/system/selinuxutil.te 2007-09-12 10:34:51.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.te 2007-10-07 07:59:32.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.te 2007-10-09 15:59:34.000000000 -0400
|
||||
@@ -76,7 +76,6 @@
|
||||
type restorecond_exec_t;
|
||||
init_daemon_domain(restorecond_t,restorecond_exec_t)
|
||||
@ -13696,7 +14177,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||
auth_dontaudit_read_shadow(run_init_t)
|
||||
|
||||
corecmd_exec_bin(run_init_t)
|
||||
@@ -423,77 +426,49 @@
|
||||
@@ -423,77 +426,52 @@
|
||||
nscd_socket_use(run_init_t)
|
||||
')
|
||||
|
||||
@ -13708,11 +14189,6 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||
#
|
||||
+seutil_semanage_policy(setsebool_t)
|
||||
+selinux_set_boolean(setsebool_t)
|
||||
+# Bug in semanage
|
||||
+seutil_domtrans_setfiles(setsebool_t)
|
||||
+seutil_manage_file_contexts(setsebool_t)
|
||||
+seutil_manage_default_contexts(setsebool_t)
|
||||
+seutil_manage_selinux_config(setsebool_t)
|
||||
|
||||
-allow semanage_t self:capability { dac_override audit_write };
|
||||
-allow semanage_t self:unix_stream_socket create_stream_socket_perms;
|
||||
@ -13731,9 +14207,15 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||
-corecmd_exec_bin(semanage_t)
|
||||
-
|
||||
-dev_read_urand(semanage_t)
|
||||
-
|
||||
+init_dontaudit_use_fds(setsebool_t)
|
||||
|
||||
-domain_use_interactive_fds(semanage_t)
|
||||
-
|
||||
+# Bug in semanage
|
||||
+seutil_domtrans_setfiles(setsebool_t)
|
||||
+seutil_manage_file_contexts(setsebool_t)
|
||||
+seutil_manage_default_contexts(setsebool_t)
|
||||
+seutil_manage_selinux_config(setsebool_t)
|
||||
|
||||
-files_read_etc_files(semanage_t)
|
||||
-files_read_etc_runtime_files(semanage_t)
|
||||
-files_read_usr_files(semanage_t)
|
||||
@ -13799,7 +14281,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||
# cjp: need a more general way to handle this:
|
||||
ifdef(`enable_mls',`
|
||||
# read secadm tmp files
|
||||
@@ -521,6 +496,8 @@
|
||||
@@ -521,6 +499,8 @@
|
||||
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:file r_file_perms;
|
||||
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:lnk_file r_file_perms;
|
||||
|
||||
@ -13808,7 +14290,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||
kernel_read_system_state(setfiles_t)
|
||||
kernel_relabelfrom_unlabeled_dirs(setfiles_t)
|
||||
kernel_relabelfrom_unlabeled_files(setfiles_t)
|
||||
@@ -537,6 +514,7 @@
|
||||
@@ -537,6 +517,7 @@
|
||||
|
||||
fs_getattr_xattr_fs(setfiles_t)
|
||||
fs_list_all(setfiles_t)
|
||||
@ -13816,7 +14298,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||
fs_search_auto_mountpoints(setfiles_t)
|
||||
fs_relabelfrom_noxattr_fs(setfiles_t)
|
||||
|
||||
@@ -590,8 +568,16 @@
|
||||
@@ -590,8 +571,16 @@
|
||||
fs_relabel_tmpfs_chr_file(setfiles_t)
|
||||
')
|
||||
|
||||
@ -13966,8 +14448,16 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/sysnet
|
||||
+')
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/udev.te serefpolicy-3.0.8/policy/modules/system/udev.te
|
||||
--- nsaserefpolicy/policy/modules/system/udev.te 2007-09-12 10:34:51.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/udev.te 2007-10-08 11:25:00.000000000 -0400
|
||||
@@ -184,6 +184,12 @@
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/udev.te 2007-10-09 16:07:36.000000000 -0400
|
||||
@@ -132,6 +132,7 @@
|
||||
|
||||
init_read_utmp(udev_t)
|
||||
init_dontaudit_write_utmp(udev_t)
|
||||
+init_getattr_initctl(udev_t)
|
||||
|
||||
libs_use_ld_so(udev_t)
|
||||
libs_use_shared_libs(udev_t)
|
||||
@@ -184,6 +185,12 @@
|
||||
')
|
||||
|
||||
optional_policy(`
|
||||
@ -13991,7 +14481,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconf
|
||||
+/usr/bin/sbcl -- gen_context(system_u:object_r:unconfined_execmem_exec_t,s0)
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.if serefpolicy-3.0.8/policy/modules/system/unconfined.if
|
||||
--- nsaserefpolicy/policy/modules/system/unconfined.if 2007-06-15 14:54:34.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.if 2007-10-09 10:33:22.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.if 2007-10-09 15:38:02.000000000 -0400
|
||||
@@ -12,14 +12,13 @@
|
||||
#
|
||||
interface(`unconfined_domain_noaudit',`
|
||||
@ -14073,7 +14563,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconf
|
||||
read_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
|
||||
read_lnk_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
|
||||
')
|
||||
@@ -601,3 +605,179 @@
|
||||
@@ -601,3 +605,198 @@
|
||||
|
||||
allow $1 unconfined_tmp_t:file { getattr write append };
|
||||
')
|
||||
@ -14253,6 +14743,25 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconf
|
||||
+ rw_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
|
||||
+ read_lnk_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
|
||||
+')
|
||||
+
|
||||
+########################################
|
||||
+## <summary>
|
||||
+## Get the process group of unconfined.
|
||||
+## </summary>
|
||||
+## <param name="domain">
|
||||
+## <summary>
|
||||
+## Domain allowed access.
|
||||
+## </summary>
|
||||
+## </param>
|
||||
+#
|
||||
+interface(`unconfined_getpgid',`
|
||||
+ gen_require(`
|
||||
+ type unconfined_t;
|
||||
+ ')
|
||||
+
|
||||
+ allow $1 unconfined_t:process getpgid;
|
||||
+')
|
||||
+
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.te serefpolicy-3.0.8/policy/modules/system/unconfined.te
|
||||
--- nsaserefpolicy/policy/modules/system/unconfined.te 2007-07-25 10:37:42.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.te 2007-10-08 10:08:01.000000000 -0400
|
||||
@ -16433,6 +16942,14 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/users serefpolicy-3.0
|
||||
- gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r'), s0, s0 - mls_systemhigh, mcs_allcats)
|
||||
-')
|
||||
+gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r') system_r, s0, s0 - mls_systemhigh, mcs_allcats)
|
||||
Binary files nsaserefpolicy/ru/ftpd_selinux.8.gz and serefpolicy-3.0.8/ru/ftpd_selinux.8.gz differ
|
||||
Binary files nsaserefpolicy/ru/httpd_selinux.8.gz and serefpolicy-3.0.8/ru/httpd_selinux.8.gz differ
|
||||
Binary files nsaserefpolicy/ru/kerberos_selinux.8.gz and serefpolicy-3.0.8/ru/kerberos_selinux.8.gz differ
|
||||
Binary files nsaserefpolicy/ru/named_selinux.8.gz and serefpolicy-3.0.8/ru/named_selinux.8.gz differ
|
||||
Binary files nsaserefpolicy/ru/nfs_selinux.8.gz and serefpolicy-3.0.8/ru/nfs_selinux.8.gz differ
|
||||
Binary files nsaserefpolicy/ru/rsync_selinux.8.gz and serefpolicy-3.0.8/ru/rsync_selinux.8.gz differ
|
||||
Binary files nsaserefpolicy/ru/samba_selinux.8.gz and serefpolicy-3.0.8/ru/samba_selinux.8.gz differ
|
||||
Binary files nsaserefpolicy/ru/ypbind_selinux.8.gz and serefpolicy-3.0.8/ru/ypbind_selinux.8.gz differ
|
||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/Rules.modular serefpolicy-3.0.8/Rules.modular
|
||||
--- nsaserefpolicy/Rules.modular 2007-05-25 09:09:10.000000000 -0400
|
||||
+++ serefpolicy-3.0.8/Rules.modular 2007-10-03 11:10:25.000000000 -0400
|
||||
|
||||
@ -17,7 +17,7 @@
|
||||
Summary: SELinux policy configuration
|
||||
Name: selinux-policy
|
||||
Version: 3.0.8
|
||||
Release: 19%{?dist}
|
||||
Release: 20%{?dist}
|
||||
License: GPLv2+
|
||||
Group: System Environment/Base
|
||||
Source: serefpolicy-%{version}.tgz
|
||||
@ -47,7 +47,7 @@ Requires(pre): policycoreutils >= %{POLICYCOREUTILSVER} libsemanage >= 1.6.17-1
|
||||
SELinux Base package
|
||||
|
||||
%files
|
||||
%{_mandir}/man8/*
|
||||
%{_mandir}/*
|
||||
%doc %{_usr}/share/doc/%{name}-%{version}
|
||||
%dir %{_usr}/share/selinux
|
||||
%dir %{_sysconfdir}/selinux
|
||||
@ -177,8 +177,8 @@ Based off of reference policy: Checked out revision 2393.
|
||||
%install
|
||||
# Build targeted policy
|
||||
%{__rm} -fR %{buildroot}
|
||||
mkdir -p %{buildroot}%{_mandir}/man8/
|
||||
install -m 644 man/man8/*.8 %{buildroot}%{_mandir}/man8/
|
||||
mkdir -p %{buildroot}%{_mandir}
|
||||
cp -R man %{buildroot}%{_mandir}
|
||||
mkdir -p %{buildroot}%{_sysconfdir}/selinux
|
||||
mkdir -p %{buildroot}%{_sysconfdir}/sysconfig
|
||||
touch %{buildroot}%{_sysconfdir}/selinux/config
|
||||
@ -371,6 +371,9 @@ exit 0
|
||||
%endif
|
||||
|
||||
%changelog
|
||||
* Tue Oct 9 2007 Dan Walsh <dwalsh@redhat.com> 3.0.8-20
|
||||
- Fixes for consolekit and startx sessions
|
||||
|
||||
* Mon Oct 8 2007 Dan Walsh <dwalsh@redhat.com> 3.0.8-19
|
||||
- Dontaudit consoletype talking to unconfined_t
|
||||
|
||||
|
||||
Loading…
Reference in New Issue
Block a user