nnd
/
selinux-refpolicy
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

trunk: Russian man page translations from Andrey Markelov.

This commit is contained in:
Chris PeBenito 2007-10-29 18:45:24 +00:00
parent 495df41602
commit 164772b537
9 changed files with 418 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
Changelog
View File

@ -1,3 +1,4 @@
- Russian man page translations from Andrey Markelov.
- Remove unused types from dbus.
- Add infrastructure for managing all user web content.
- Deprecate some old file and dir permission set macros in favor of the

57
man/ru/man8/ftpd_selinux.8 Normal file
View File

@ -0,0 +1,57 @@
.TH "ftpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ftpd Selinux Policy documentation"
.SH "НАЗВАНИЕ"
ftpd_selinux \- Политика Security Enhanced Linux для демона ftp
.SH "ОПИСАНИЕ"
Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа.
.SH КОНТЕКСТ ФАЙЛОВ
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный
доступ к файлам, вы должны присвоить этим файлам и директориям контекст public_content_t.
Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
.TP
chcon -R -t public_content_t /var/ftp
.TP
Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны
установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
.TP
chcon -t public_content_rw_t /var/ftp/incoming
.TP
Вы также должны включить переключатель allow_ftpd_anon_write.
.TP
setsebool -P allow_ftpd_anon_write=1
.TP
Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
.TP
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
.br
/var/ftp(/.*)? system_u:object_r:public_content_t
/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
Политика SELinux для демона ftp настроена исходя из принципа наименьших привелегий. Таким
образом, по умолчанию политика SELinux не позволяет пользователям заходить на сервер и
читать содержимое их домашних директорий.
.br
Если вы настраиваете данную машину как ftpd-сервер и хотите, чтобы пользователи могли получать
доступ к своим домашним директориям, то вам необходимо установить переключатель ftp_home_dir.
.TP
setsebool -P ftp_home_dir 1
.TP
ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы
хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon.
.TP
setsebool -P ftpd_is_daemon 1
.br
service vsftpd restart
.TP
Для управления настройками SELinux существует графическая утилита system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), ftpd(8), chcon(1), setsebool(8)

137
man/ru/man8/httpd_selinux.8 Normal file
View File

@ -0,0 +1,137 @@
.TH "httpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "httpd Selinux Policy documentation"
.de EX
.nf
.ft CW
..
.de EE
.ft R
.fi
..
.SH "НАЗВАНИЕ"
httpd_selinux \- Политика Security Enhanced Linux для демона httpd
.SH "ОПИСАНИЕ"
Security-Enhanced Linux обеспечивает защиту сервера httpd при помощи гибко настраиваемого мандатного контроля доступа.
.SH КОНТЕКСТ ФАЙЛОВ
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
Политика управляет видом доступа демона к этим файлам.
Политика SELinux для демона httpd позволяет пользователям настроить web-службы максимально безопасным методом с высокой степенью гибкости.
.PP
Для httpd определены следующие контексты файлов:
.EX
httpd_sys_content_t
.EE
- Установите контекст httpd_sys_content_t для содержимого, которое должно быть доступно для всех скриптов httpd и для самого демона.
.EX
httpd_sys_script_exec_t
.EE
- Установите контекст httpd_sys_script_exec_t для cgi-скриптов, чтобы разрешить им доступ ко всем sys-типам.
.EX
httpd_sys_script_ro_t
.EE
- Установите на файлы контекст httpd_sys_script_ro_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать данные, и при этом нужно запретить доступ другим не-sys скриптам.
.EX
httpd_sys_script_rw_t
.EE
- Установите на файлы контекст httpd_sys_script_rw_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и писать данные, и при этом нужно запретить доступ другим не-sys скриптам.
.EX
httpd_sys_script_ra_t
.EE
- Установите на файлы контекст httpd_sys_script_ra_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и добавлять данные, и при этом нужно запретить доступ другим не-sys скриптам.
.EX
httpd_unconfined_script_exec_t
.EE
- Установите на cgi-скрипты контекст httpd_unconfined_script_exec_t если вы хотите разрешить
им исполняться без какой-либо защиты SELinux. Такой способ должен использоваться только для
скриптов с очень комплексными требованиями, и только в случае, если все остальные варианты настройки не дали результата. Лучше использовать скрипты с контекстом httpd_unconfined_script_exec_t, чем выключать защиту SELinux для httpd.
.SH ЗАМЕЧАНИЕ
Вместе с некоторыми политиками, вы можете определить дополнительные контексты файлов, основанные
на ролях, таких как user или staff. Может быть определен контекст httpd_user_script_exec_t, который будет иметь доступ только к "пользовательским" контекстам.
.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для httpd вы должны выполнить команду:
.EX
setsebool -P allow_httpd_anon_write=1
.EE
или
.EX
setsebool -P allow_httpd_sys_script_anon_write=1
.EE
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
Политика SELinux настроена исходя из принципа наименьших привилегий. Таким образом,
по умолчанию SELinux препятствует работе некоторых http-скриптов. Политика httpd весьма
гибка, и существующие переключатели управляют политикой, позволяя httpd выполняться
с наименее возможными правами доступа.
.PP
Если вы хотите, чтобы httpd мог исполнять cgi-скрипты, установите переключатель httpd_enable_cgi
.EX
setsebool -P httpd_enable_cgi 1
.EE
.PP
По умолчанию демону httpd не разрешен доступ в домашние дерикториии пользователей. Если вы хотите разрешить доступ, вам необходимо установить переключатель httpd_enable_homedirs и изменить контекст
тех файлов в домашних директориях пользователей, к которым должен быть разрешен доступ.
.EX
setsebool -P httpd_enable_homedirs 1
chcon -R -t httpd_sys_content_t ~user/public_html
.EE
.PP
По умолчанию демон httpd не имеет доступ к управляющему терминалу. В большинстве случаев такое
поведение является предпочтительным. Это связанно с тем, что злоумышленник может попытаться
использовать доступ к терминалу для получения привилегий. Однако, в некоторых ситуациях демон
httpd должен выводить запрос пароля для открытия файла сертификата и в таких случаях нужен доступ
к терминалу. Для того, чтобы разрешить доступ к терминалу, установите переключатель httpd_tty_comm.
.EX
setsebool -P httpd_tty_comm 1
.EE
.PP
httpd может быть настроен так, чтобы не разграничивать тип доступа к файлу на основании контекста.
Иными словами, ко всем файлам, имеющим контекст httpd разрешен доступ на чтение/запись/исполнение.
Установка этого переключателя в false, позволяет настроить политику безопасности таким образом,
что одина служба httpd не конфликтует с другой.
.EX
setsebool -P httpd_unified 0
.EE
.PP
Имеется возможность настроить httpd таким образом, чтобы отключить встроенную поддержку
скриптов (PHP). PHP и другие загружаемые модули работают в том же контексте, что и httpd.
Таким образом, если используются только внешние cgi-скрипты, некоторые из правил политики
разрешают httpd больший доступ к системе, чем необходимо.
.EX
setsebool -P httpd_builtin_scripting 0
.EE
.PP
По умолчанию httpd-скриптам запрещено устанавливать внешние сетевые подключения.
Это не позволит хакеру, взломавшему ваш httpd-сервер, атаковать другие машины.
Если вашим скриптам необходимо иметь возможность подключения, установите переключатель
httpd_can_network_connect
.EX
setsebool -P httpd_can_network_connect 1
.EE
.PP
Для управления настройками SELinux существует графическая утилита system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), httpd(8), chcon(1), setsebool(8)

30
man/ru/man8/kerberos_selinux.8 Normal file
View File

@ -0,0 +1,30 @@
.TH "kerberos_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "kerberos Selinux Policy documentation"
.de EX
.nf
.ft CW
..
.de EE
.ft R
.fi
..
.SH "НАЗВАНИЕ"
kerberos_selinux \- Политика Security Enhanced Linux для Kerberos.
.SH "ОПИСАНИЕ"
Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию Kerberos запрещен, поскольку требуется функционирование демонов,
которым предоставляется слишком обширный доступ к сети и некоторым чувствительным в плане безопасности файлам.
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
.PP
Для того, чтобы система могла корректно работать в окружении Kerberos, вы должны установить переключатель allow_kerberos.
.EX
setsebool -P allow_kerberos 1
.EE
.PP
Для управления настройками SELinux существует графическая утилита system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), kerberos(1), chcon(1), setsebool(8)

31
man/ru/man8/named_selinux.8 Normal file
View File

@ -0,0 +1,31 @@
.TH "named_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "named Selinux Policy documentation"
.de EX
.nf
.ft CW
..
.de EE
.ft R
.fi
..
.SH "НАЗВАНИЕ"
named_selinux \- Политика Security Enhanced Linux для демона Internet Name server (named)
.SH "ОПИСАНИЕ"
Security-Enhanced Linux обеспечивает защиту сервера named при помощи гибко настраиваемого мандатного контроля доступа.
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
по умолчанию политика SELinux не позволяет демону named осуществлять изменения файлов мастер-зоны.
Если вам необходимо, чтобы named мог обновлять файлы мастер-зоны, вы должны установить переключатель named_write_master_zones boolean.
.EX
setsebool -P named_write_master_zones 1
.EE
.PP
Для управления настройками SELinux существует графическая утилита system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), named(8), chcon(1), setsebool(8)

33
man/ru/man8/nfs_selinux.8 Normal file
View File

@ -0,0 +1,33 @@
.TH "nfs_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "nfs Selinux Policy documentation"
.SH "НАЗВАНИЕ"
nfs_selinux \- Политика Security Enhanced Linux для NFS
.SH "ОПИСАНИЕ"
Security-Enhanced Linux защищает сервер nfs при помощи гибко настраиваемого мандатного контроля доступа.
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
по умолчанию политика SELinux не позволяет предоставлять доступ к файлам по nfs. Если вы хотите
разрешить доступ только на чтение к файлам этой машины по nfs, вы должны установить переключатель
nfs_export_all_ro.
.TP
setsebool -P nfs_export_all_ro 1
.TP
Если вы хотите разрешить доступ на чтение/запись, вы должны установить переключатель nfs_export_all_rw.
.TP
setsebool -P nfs_export_all_rw 1
.TP
Если вы хотите использовать удаленный NFS сервер для хранения домашних директорий этой машины,
то вы должны установить переключатель use_nfs_home_dir boolean.
.TP
setsebool -P use_nfs_home_dirs 1
.TP
Для управления настройками SELinux существует графическая утилита
system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), chcon(1), setsebool(8)

50
man/ru/man8/rsync_selinux.8 Normal file
View File

@ -0,0 +1,50 @@
.TH "rsync_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "rsync Selinux Policy documentation"
.de EX
.nf
.ft CW
..
.de EE
.ft R
.fi
..
.SH "НАЗВАНИЕ"
rsync_selinux \- Политика Security Enhanced Linux для демона rsync
.SH "ОПИСАНИЕ"
Security-Enhanced Linux обеспечивает защиту сервера rsync при помощи гибко настраиваемого мандатного контроля доступа.
.SH КОНТЕКСТ ФАЙЛОВ
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
Политика управляет видом доступа демона к этим файлам. Если вы хотите предоставить доступ к файлам
при помощи демона rsync, вы должны присвоить этим файлам и директориям контекст
public_content_t. Таким образом, если вы создаете специальную директорию /var/rsync, то вам
необходимо установить контекст для этой директории при помощи утилиты chcon.
.TP
chcon -t public_content_t /var/rsync
.TP
Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
.EX
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
/var/rsync(/.*)? system_u:object_r:public_content_t
.EE
.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для rsync вы должны выполнить команду:
.EX
setsebool -P allow_rsync_anon_write=1
.EE
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
.TP
Для управления настройками SELinux существует графическая утилита system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), rsync(1), chcon(1), setsebool(8)

60
man/ru/man8/samba_selinux.8 Normal file
View File

@ -0,0 +1,60 @@
.TH "samba_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation"
.SH "НАЗВАНИЕ"
samba_selinux \- Политика Security Enhanced Linux для Samba
.SH "ОПИСАНИЕ"
Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа.
.SH КОНТЕКСТ ФАЙЛОВ
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
Политика управляет видом доступа демона к этим файлам.
Если вы хотите предоставить доступ к файлам вовне домашних директорий, этим файлам необходимо
присвоить контекст samba_share_t.
Таким образом, если вы создаете специальную директорию /var/eng, то вам необходимо
установить контекст для этой директории при помощи утилиты chcon.
.TP
chcon -t samba_share_t /var/eng
.TP
Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
.TP
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
.br
/var/eng(/.*)? system_u:object_r:samba_share_t
.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить команду:
setsebool -P allow_smbd_anon_write=1
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
.br
Политика SELinux настраивается исходя из принципа наименьших привилегий.
Таким образом, по умолчанию политика SELinux не позволяет предоставлять удаленный доступ
к домашним директориям и не позволяет использовать удаленный сервер Samba для хранения
домашних директорий.
.TP
Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним
директориям, вы должны установить переключатель samba_enable_home_dirs.
.br
setsebool -P samba_enable_home_dirs 1
.TP
Если вы хотите для хранения домашних директорий пользователей этой машины использовать удаленный
сервер Samba, вы должны установить переключатель use_samba_home_dirs.
.br
setsebool -P use_samba_home_dirs 1
.TP
Для управления настройками SELinux существует графическая утилита system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), samba(7), chcon(1), setsebool(8)

19
man/ru/man8/ypbind_selinux.8 Normal file
View File

@ -0,0 +1,19 @@
.TH "ypbind_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ypbind Selinux Policy documentation"
.SH "НАЗВАНИЕ"
ypbind_selinux \- Политика Security Enhanced Linux для NIS.
.SH "ОПИСАНИЕ"
Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию работа NIS запрещена. Это является следствием того, что демоны NIS требуют слишком обширного доступа к сети.
.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
.TP
Для того, чтобы система могла работать в окружении NIS, вы должны установить переключатель allow_ypbind.
.TP
setsebool -P allow_ypbind 1
.TP
Для управления настройками SELinux существует графическая утилита system-config-selinux.
.SH АВТОРЫ
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
.SH "СМОТРИ ТАКЖЕ"
selinux(8), ypbind(8), chcon(1), setsebool(8)