101 lines
7.3 KiB
Groff
101 lines
7.3 KiB
Groff
.TH SANDBOX "8" "Май 2010" "sandbox" "Команды пользователя"
|
||
.SH ИМЯ
|
||
sandbox \- выполнить приложение cmd в изолированной среде SELinux
|
||
.SH ОБЗОР
|
||
.B sandbox
|
||
[\-C] [\-s] [ \-d DPI ] [\-l level ] [[\-M | \-X] \-H homedir \-T tempdir ] [\-I includefile ] [ \-W windowmanager ] [ \-w windowsize ] [[\-i file ]...] [ \-t type ] cmd
|
||
|
||
.br
|
||
.B sandbox
|
||
[\-C] [\-s] [ \-d DPI ] [\-l level ] [[\-M | \-X] \-H homedir \-T tempdir ] [\-I includefile ] [ \-W windowmanager ] [ \-w windowsize ] [[\-i file ]...] [ \-t type ] \-S
|
||
.br
|
||
.SH ОПИСАНИЕ
|
||
.PP
|
||
Выполнить приложение
|
||
.I cmd
|
||
в строго ограниченном домене SELinux. По умолчанию в домене изолированной среды приложения могут только читать и записывать stdin, stdout и любые другие передаваемые дескрипторы файлов. Открывать другие файлы нельзя. Параметр \-M позволяет смонтировать альтернативные домашний каталог и временный каталог, которые будут использоваться изолированной средой.
|
||
|
||
Если установлен пакет
|
||
.I policycoreutils-sandbox,
|
||
можно использовать параметр \-X и параметр \-M.
|
||
.B sandbox \-X
|
||
позволяет запускать приложения X в изолированной среде. Эти приложения запускаются на своём собственном X-сервере и создают временные домашний каталог и каталог /tmp. Политика SELinux по умолчанию не разрешает использовать какие-либо средства для управления привилегиями или осуществлять доступ к сети. Она также предотвращает доступ к другим процессам и файлам пользователей. Указанные в команде файлы, которые находятся в домашнем каталоге или каталоге /tmp, будут скопированы в каталоги изолированной среды.
|
||
|
||
Если каталоги указаны с параметром \-H или \-T, их контекст будет изменён chcon(1) (если только с помощью параметра \-l не указан уровень). Если уровень безопасности MLS/MCS указан, пользователь должен установить правильные метки.
|
||
.PP
|
||
.TP
|
||
\fB\-h\ \fB\-\-help\fR
|
||
Показать сведения об использовании
|
||
.TP
|
||
\fB\-H\ \fB\-\-homedir\fR
|
||
Указать альтернативный домашний каталог для монтирования вместо вашего домашнего каталога. По умолчанию используется временный каталог. Требуется \-X или \-M.
|
||
.TP
|
||
\fB\-i\fR \fB\-\-include\fR
|
||
Копировать этот файл в соответствующий временный каталог изолированной среды. Команду можно повторять.
|
||
.TP
|
||
\fB\-I\fR \fB\-\-includefile\fR
|
||
Копировать все файлы, перечисленные во входном файле (inputfile), в соответствующие временные каталоги изолированной среды.
|
||
.TP
|
||
\fB\-l\fR \fB\-\-level\fR
|
||
Указать уровень безопасности MLS/MCS, с которым следует запускать изолированную среду. По умолчанию используется случайное значение.
|
||
.TP
|
||
\fB\-M\fR \fB\-\-mount\fR
|
||
Создать изолированную среду с временными файлами для $HOME и /tmp.
|
||
.TP
|
||
\fB\-s\fR \fB\-\-shred\fR
|
||
Уничтожить временные файлы, созданные в $HOME в /tmp, перед удалением.
|
||
.TP
|
||
\fB\-t\fR \fB\-\-type\fR
|
||
Использовать альтернативный тип изолированной среды. По умолчанию: sandbox_t или sandbox_x_t для \-X.
|
||
|
||
\fBПримеры:\fR
|
||
.br
|
||
sandbox_t \- без X, без доступа к сети, без открытия, чтение/запись передаются в дескрипторах файлов.
|
||
.br
|
||
sandbox_min_t \- без доступа к сети
|
||
.br
|
||
sandbox_x_t \- порты для X-приложений, которые следует запустить локально
|
||
.br
|
||
sandbox_web_t \- порты, необходимые для работы в Интернете
|
||
.br
|
||
sandbox_net_t \- сетевые порты (для серверного ПО)
|
||
.br
|
||
sandbox_net_client_t \- все сетевые порты
|
||
|
||
.TP
|
||
\fB\-T\fR \fB\-\-tmpdir\fR
|
||
Использовать альтернативный временный каталог для монтирования в /tmp. По умолчанию: tmpfs. Требуется \-X или \-M.
|
||
.TP
|
||
\fB\-S\fR \fB\-\-session\fR
|
||
Запустить полный сеанс рабочего стола. Требуется уровень, домашний каталог и временный каталог.
|
||
.TP
|
||
\fB\-w\fR \fB\-\-windowsize\fR
|
||
Указать размер окна при создании изолированной среды на основе X. По умолчанию: 1000x700.
|
||
.TP
|
||
\fB\-W\fR \fB\-\-windowmanager\fR
|
||
Выбрать альтернативный диспетчер окон для запуска в
|
||
.B sandbox \-X.
|
||
По умолчанию: /usr/bin/openbox.
|
||
.TP
|
||
\fB\-X\fR
|
||
Создать изолированную среду на основе X для приложений графического интерфейса пользователя, временные файлы для $HOME и /tmp, дополнительный X-сервер. По умолчанию: sandbox_x_t
|
||
.TP
|
||
\fB\-d\fR \fB\-\-dpi\fR
|
||
Указать значение разрешения (DPI) для X-сервера изолированной среды. По умолчанию используется значение разрешения текущего X-сервера.
|
||
.TP
|
||
\fB\-C\fR \fB\-\-capabilities\fR
|
||
Использовать средства для управления привилегиями внутри изолированной среды. По умолчанию приложениям, которые выполняются в изолированной среде, запрещено использовать средства для управления привилегиями (setuid apps), но с флагом \-C можно использовать программы, которым необходимы средства для управления привилегиями.
|
||
.PP
|
||
.SH "СМОТРИТЕ ТАКЖЕ"
|
||
.TP
|
||
runcon(1), seunshare(8), selinux(8)
|
||
.PP
|
||
|
||
.SH АВТОРЫ
|
||
Эта страница руководства была написана
|
||
.I Dan Walsh <dwalsh@redhat.com>
|
||
и
|
||
.I Thomas Liu <tliu@fedoraproject.org>.
|
||
Перевод на русский язык выполнила
|
||
.I Герасименко Олеся <gammaray@basealt.ru>.
|