134 lines
7.0 KiB
Groff
134 lines
7.0 KiB
Groff
|
.TH SEMODULE "8" "Ноябрь 2005" "Security Enhanced Linux" NSA
|
|||
|
|
.SH ИМЯ
|
|||
|
|
semodule \- управление модулями политики SELinux.
|
|||
|
|
|
|||
|
|
.SH ОБЗОР
|
|||
|
|
.B semodule [option]... MODE...
|
|||
|
|
.br
|
|||
|
|
.SH ОПИСАНИЕ
|
|||
|
|
.PP
|
|||
|
|
semodule - это утилита, которая используется для управления модулями политики SELinux, включая установку, обновление, вывод списка и удаление модулей. semodule также можно использовать для принудительной пересборки политики из хранилища модулей и/или для принудительной перезагрузки политики без выполнения других транзакций. semodule применяется к пакетам модулей, созданным с помощью semodule_package. По соглашению эти файлы имеют суффикс .pp (пакет политики), хотя это никак не регламентируется.
|
|||
|
|
|
|||
|
|
.SH "MODES"
|
|||
|
|
.TP
|
|||
|
|
.B \-R, \-\-reload
|
|||
|
|
принудительно перезагрузить политику
|
|||
|
|
.TP
|
|||
|
|
.B \-B, \-\-build
|
|||
|
|
принудительно пересобрать политику (также выполнит перезагрузку, если не используется \-n)
|
|||
|
|
.TP
|
|||
|
|
.B \-D, \-\-disable_dontaudit
|
|||
|
|
временно удалить правила dontaudit из политики (изменения отменяются при пересборке политики)
|
|||
|
|
.TP
|
|||
|
|
.B \-i,\-\-install=MODULE_PKG
|
|||
|
|
установить/заменить пакет модуля
|
|||
|
|
.TP
|
|||
|
|
.B \-u,\-\-upgrade=MODULE_PKG
|
|||
|
|
устарел, псевдоним для --install
|
|||
|
|
.TP
|
|||
|
|
.B \-b,\-\-base=MODULE_PKG
|
|||
|
|
устарел, псевдоним для --install
|
|||
|
|
.TP
|
|||
|
|
.B \-r,\-\-remove=MODULE_NAME
|
|||
|
|
удалить существующий модуль с указанным приоритетом (по умолчанию: -X 400)
|
|||
|
|
.TP
|
|||
|
|
.B \-l[KIND],\-\-list-modules[=KIND]
|
|||
|
|
вывести список установленных модулей (отличных от базовых)
|
|||
|
|
.TP
|
|||
|
|
.B KIND:
|
|||
|
|
.TP
|
|||
|
|
standard
|
|||
|
|
вывести модули с высшим приоритетом, включённые, небазовые
|
|||
|
|
.TP
|
|||
|
|
full
|
|||
|
|
вывести все модули
|
|||
|
|
.TP
|
|||
|
|
.B \-X,\-\-priority=PRIORITY
|
|||
|
|
установить приоритет для следующих операций (1-999)
|
|||
|
|
.TP
|
|||
|
|
.B \-e,\-\-enable=MODULE_NAME
|
|||
|
|
включить модуль
|
|||
|
|
.TP
|
|||
|
|
.B \-d,\-\-disable=MODULE_NAME
|
|||
|
|
отключить модуль
|
|||
|
|
.TP
|
|||
|
|
.B \-E,\-\-extract=MODULE_PKG
|
|||
|
|
извлечь модуль из хранилища в текущий каталог как файл HLL или CIL.
|
|||
|
|
По умолчанию модуль извлекается как файл HLL. Имя записываемого модуля - <module-name>.<lang_ext>
|
|||
|
|
.SH "ПАРАМЕТРЫ"
|
|||
|
|
.TP
|
|||
|
|
.B \-s,\-\-store
|
|||
|
|
имя хранилища, над которым следует выполнить операцию
|
|||
|
|
.TP
|
|||
|
|
.B \-n,\-\-noreload,\-N
|
|||
|
|
не перезагружать политику после фиксации
|
|||
|
|
.TP
|
|||
|
|
.B \-h,\-\-help
|
|||
|
|
вывести справочное сообщение и выйти
|
|||
|
|
.TP
|
|||
|
|
.B \-P,\-\-preserve_tunables
|
|||
|
|
сохранить настраиваемые параметры в политике
|
|||
|
|
.TP
|
|||
|
|
.B \-C,\-\-ignore-module-cache
|
|||
|
|
перекомпилировать модули CIL, собранные из файлов HLL
|
|||
|
|
.TP
|
|||
|
|
.B \-p,\-\-path
|
|||
|
|
использовать альтернативный путь для корневого расположения политики
|
|||
|
|
.TP
|
|||
|
|
.B \-S,\-\-store-path
|
|||
|
|
использовать альтернативный путь для корневого расположения хранилища политики
|
|||
|
|
.TP
|
|||
|
|
.B \-v,\-\-verbose
|
|||
|
|
подробно
|
|||
|
|
.TP
|
|||
|
|
.B \-c,\-\-cil
|
|||
|
|
извлечь модуль как файл CIL. Это влияет только на параметр \-\-extract и модули, перечисленные в \-\-extract после этого параметра.
|
|||
|
|
.TP
|
|||
|
|
.B \-H,\-\-hll
|
|||
|
|
извлечь модуль как файл HLL. Это влияет только на параметр \-\-extract и модули, перечисленные в \-\-extract после этого параметра.
|
|||
|
|
|
|||
|
|
.SH ПРИМЕР
|
|||
|
|
.nf
|
|||
|
|
# Установить или заменить базовый пакет политики.
|
|||
|
|
$ semodule \-b base.pp
|
|||
|
|
# Установить или заменить небазовый пакет политики.
|
|||
|
|
$ semodule \-i httpd.pp
|
|||
|
|
# Установить или заменить все небазовые модули в текущем каталоге.
|
|||
|
|
# Этот синтаксис можно использовать с -i/u/r/E, но после имён модулей нельзя вводить какие-либо другие параметры.
|
|||
|
|
$ semodule \-i *.pp
|
|||
|
|
# Установить или заменить все модули в текущем каталоге.
|
|||
|
|
$ ls *.pp | grep \-Ev "base.pp|enableaudit.pp" | xargs /usr/sbin/semodule \-b base.pp \-i
|
|||
|
|
# Вывести список небазовых модулей.
|
|||
|
|
$ semodule \-l
|
|||
|
|
# Вывести список всех модулей, включая их приоритет.
|
|||
|
|
$ semodule \-lfull
|
|||
|
|
# Удалить модуль с приоритетом 100.
|
|||
|
|
$ semodule \-X 100 \-r wireshark
|
|||
|
|
# Включить все сообщения кэша вектора доступа (AVC), для которых SELinux сейчас использует правила "dontaudit".
|
|||
|
|
$ semodule \-DB
|
|||
|
|
# Включить правила "dontaudit" обратно.
|
|||
|
|
$ semodule \-B
|
|||
|
|
# Отключить модуль (будут отключены все экземпляры данного модуля независимо от их приоритета).
|
|||
|
|
$ semodule \-d alsa
|
|||
|
|
# Установить модуль с указанным приоритетом.
|
|||
|
|
$ semodule \-X 100 \-i alsa.pp
|
|||
|
|
# Вывести список всех модулей.
|
|||
|
|
$ semodule \-\-list=full
|
|||
|
|
# Установить альтернативный путь для корневого расположения политики.
|
|||
|
|
$ semodule \-B \-p "/tmp"
|
|||
|
|
# Установить альтернативный путь для корневого расположения хранилища политики.
|
|||
|
|
$ semodule \-B \-S "/tmp/var/lib/selinux"
|
|||
|
|
# Записать HLL-версию модуля puppet и CIL-версию модуля wireshark
|
|||
|
|
# с приоритетом 400 в текущий рабочий каталог
|
|||
|
|
$ semodule \-X 400 \-\-hll \-E puppet \-\-cil \-E wireshark
|
|||
|
|
.fi
|
|||
|
|
|
|||
|
|
.SH СМОТРИТЕ ТАКЖЕ
|
|||
|
|
.BR checkmodule (8),
|
|||
|
|
.BR semodule_package (8)
|
|||
|
|
.SH АВТОРЫ
|
|||
|
|
.nf
|
|||
|
|
Эта страница руководства была написана Dan Walsh <dwalsh@redhat.com>.
|
|||
|
|
Программа была написана Karl MacMillan <kmacmillan@tresys.com>, Joshua Brindle <jbrindle@tresys.com>, Jason Tang <jtang@tresys.com>.
|
|||
|
|
Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>
|