mirror of
https://github.com/SELinuxProject/selinux
synced 2024-12-13 17:44:54 +00:00
e3e3873de7
Signed-off-by: Olesya Gerasimenko <gammaray@basealt.ru> Signed-off-by: Aleksei Nikiforov <darktemplar@basealt.ru>
194 lines
11 KiB
Groff
194 lines
11 KiB
Groff
.TH "restorecon" "8" "10 июня 2016" "" "Команда пользователя SELinux"
|
||
.SH "ИМЯ"
|
||
restorecon \- восстановить SELinux-контексты безопасности файлов по умолчанию.
|
||
|
||
.SH "ОБЗОР"
|
||
.B restorecon
|
||
.RB [ \-r | \-R ]
|
||
.RB [ \-m ]
|
||
.RB [ \-n ]
|
||
.RB [ \-p ]
|
||
.RB [ \-v ]
|
||
.RB [ \-i ]
|
||
.RB [ \-F ]
|
||
.RB [ \-W ]
|
||
.RB [ \-I | \-D ]
|
||
.RB [ \-e
|
||
.IR directory ]
|
||
.IR pathname \ ...
|
||
.P
|
||
.B restorecon
|
||
.RB [ \-f
|
||
.IR infilename ]
|
||
.RB [ \-e
|
||
.IR directory ]
|
||
.RB [ \-r | \-R ]
|
||
.RB [ \-m ]
|
||
.RB [ \-n ]
|
||
.RB [ \-p ]
|
||
.RB [ \-v ]
|
||
.RB [ \-i ]
|
||
.RB [ \-F ]
|
||
.RB [ \-W ]
|
||
.RB [ \-I | \-D ]
|
||
|
||
.SH "ОПИСАНИЕ"
|
||
Эта страница руководства содержит описание программы
|
||
.BR restorecon.
|
||
.P
|
||
Эта программа используется в основном для установки контекста безопасности (расширенных атрибутов) для одного или нескольких файлов.
|
||
.P
|
||
Также можно запустить её в любой момент, чтобы исправить некорректные метки, добавить поддержку недавно установленной политики или, используя параметр
|
||
.B \-n
|
||
, пассивно проверить, соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию).
|
||
.P
|
||
Если объект файла не имеет контекста,
|
||
.B restorecon
|
||
запишет контекст по умолчанию в расширенные атрибуты объекта файла. Если объект файла имеет контекст,
|
||
.B restorecon
|
||
изменит только ту часть контекста безопасности, которая относится к типу.
|
||
Параметр
|
||
.B \-F
|
||
позволяет принудительно заменить контекст целиком.
|
||
.P
|
||
Если у файла имеется метка настраиваемого типа SELinux
|
||
.BR customizable
|
||
(список настраиваемых типов: /etc/selinux/{SELINUXTYPE}/contexts/customizable_types), restorecon
|
||
выполнит сброс метки только при условии использования параметра \-F.
|
||
.P
|
||
Эта программа аналогична
|
||
.BR setfiles,
|
||
но действует немного другим образом в зависимости от значения argv[0].
|
||
|
||
.SH "ПАРАМЕТРЫ"
|
||
.TP
|
||
.BI \-e \ directory
|
||
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать соответствующее количество раз; необходимо указывать полный путь).
|
||
.TP
|
||
.BI \-f \ infilename
|
||
.I infilename
|
||
содержит список файлов для обработки. Используйте
|
||
.RB \*(lq \- \*(rq
|
||
для
|
||
.BR stdin.
|
||
.TP
|
||
.B \-F
|
||
принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а также тип).
|
||
.TP
|
||
.B \-h, \-?
|
||
показать сведения об использовании и выйти.
|
||
.TP
|
||
.B \-i
|
||
игнорировать файлы, которые не существуют.
|
||
.TP
|
||
.B \-I
|
||
игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе
|
||
.B ПРИМЕЧАНИЯ.
|
||
.TP
|
||
.B \-D
|
||
установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута
|
||
.IR security.restorecon_last.
|
||
.TP
|
||
.B \-m
|
||
не выполнять чтение
|
||
.B /proc/mounts
|
||
для получения списка монтирований без seclabel, которые следует исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге смонтирована файловая система с seclabel.
|
||
.TP
|
||
.B \-n
|
||
не изменять метки файлов (пассивная проверка). Чтобы просмотреть файлы, метки которых были бы изменены, добавьте
|
||
.BR \-v.
|
||
.TP
|
||
.BI \-o \ outfilename
|
||
этот параметр устарел и больше не поддерживается.
|
||
.TP
|
||
.B \-p
|
||
показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите внимание, что параметры
|
||
.B \-p
|
||
и
|
||
.B \-v
|
||
являются взаимоисключающими.
|
||
.TP
|
||
.B \-R, \-r
|
||
рекурсивно изменить метки файлов для файлов и каталогов (спускаться по каталогам).
|
||
.br
|
||
.TP
|
||
.B \-v
|
||
показать изменения в метках файлов. Использование нескольких параметров -v увеличивает уровень детализации. Обратите внимание, что параметры
|
||
.B \-v
|
||
и
|
||
.B \-p
|
||
являются взаимоисключающими.
|
||
.TP
|
||
.B \-W
|
||
показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью вывода результатов
|
||
.BR selabel_stats (3).
|
||
.TP
|
||
.B \-0
|
||
предполагается, что разделителем для элементов ввода является символ нуля
|
||
(вместо пробела). Символы кавычек и обратной косой черты также считаются обычными символами, которые могут формировать допустимый ввод.
|
||
Этот параметр также отключает строку конца файла (end-of-file string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или обратные косые черты. Параметр
|
||
.B \-print0
|
||
GNU
|
||
.B find
|
||
производит ввод, подходящий для этого режима.
|
||
.TP
|
||
.SH "АРГУМЕНТЫ"
|
||
.IR pathname \ ...
|
||
Путь к файлу (файлам), для которых следует повторно проставить метки.
|
||
.SH "ПРИМЕЧАНИЯ"
|
||
.IP "1." 4
|
||
.B restorecon
|
||
не переходит по символическим ссылкам и по умолчанию не работает с каталогами рекурсивно.
|
||
.IP "2." 4
|
||
Если в
|
||
.I pathname
|
||
указан корневой каталог, установлен параметр
|
||
.B \-vR
|
||
или
|
||
.B \-vr,
|
||
а также запущена система аудита, в журнал с меткой сообщения
|
||
.BR FS_RELABEL
|
||
автоматически записывается событие аудита, которое содержит сообщение о том, что произошло "массовое повторное проставление меток".
|
||
.IP "3." 4
|
||
Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах (то есть тогда, когда установлен параметр
|
||
.B \-R
|
||
или
|
||
.B \-r
|
||
),
|
||
параметр
|
||
.B \-D
|
||
команды
|
||
.B restorecon
|
||
обеспечит сохранение дайджеста SHA1 файлов спецификации по умолчанию в расширенном атрибуте с именем
|
||
.IR security.restorecon_last
|
||
для каталогов, указанных в соответствующих путях
|
||
.IR pathname \ ...
|
||
, после успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда
|
||
.B restorecon
|
||
.B \-D
|
||
будет перезапущена с теми же параметрами
|
||
.I pathname.
|
||
Подробные сведения доступны в
|
||
.BR selinux_restorecon (3).
|
||
.sp
|
||
Параметр
|
||
.B \-I
|
||
позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в
|
||
.IR pathname \ ...
|
||
, и, при условии, что НЕ установлен параметр
|
||
.B \-n
|
||
и установлен рекурсивный режим, для файлов будут необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).
|
||
|
||
.SH "СМОТРИТЕ ТАКЖЕ"
|
||
.BR setfiles (8),
|
||
.BR fixfiles (8),
|
||
.BR load_policy (8),
|
||
.BR checkpolicy (8),
|
||
.BR customizable_types (5)
|
||
|
||
.SH "АВТОРЫ"
|
||
Эта man-страница была написана Dan Walsh <dwalsh@redhat.com>.
|
||
Некоторая часть содержимого этой man-страницы была взята из man-страницы setfiles, написанной Russell Coker <russell@coker.com.au>.
|
||
Программа была написана Dan Walsh <dwalsh@redhat.com>.
|
||
Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.
|