* [gentoo-commits] gentoo commit in xml/htdocs/proj/pl/hardened/selinux: hb-selinux-overview.xml
@ 2008-07-25 13:07 Damian Kuras (shadow)
0 siblings, 0 replies; only message in thread
From: Damian Kuras (shadow) @ 2008-07-25 13:07 UTC (permalink / raw
To: gentoo-commits
shadow 08/07/25 13:07:18
Modified: hb-selinux-overview.xml
Log:
sync to 1.8
Revision Changes Path
1.5 xml/htdocs/proj/pl/hardened/selinux/hb-selinux-overview.xml
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/pl/hardened/selinux/hb-selinux-overview.xml?rev=1.5&view=markup
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/pl/hardened/selinux/hb-selinux-overview.xml?rev=1.5&content-type=text/plain
diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/pl/hardened/selinux/hb-selinux-overview.xml?r1=1.4&r2=1.5
Index: hb-selinux-overview.xml
===================================================================
RCS file: /var/cvsroot/gentoo/xml/htdocs/proj/pl/hardened/selinux/hb-selinux-overview.xml,v
retrieving revision 1.4
retrieving revision 1.5
diff -u -r1.4 -r1.5
--- hb-selinux-overview.xml 2 Jun 2007 11:53:29 -0000 1.4
+++ hb-selinux-overview.xml 25 Jul 2008 13:07:18 -0000 1.5
@@ -4,11 +4,11 @@
<!-- The content of this document is licensed under the CC-BY-SA license -->
<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/pl/hardened/selinux/hb-selinux-overview.xml,v 1.4 2007/06/02 11:53:29 shadoww Exp $ -->
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/pl/hardened/selinux/hb-selinux-overview.xml,v 1.5 2008/07/25 13:07:18 shadow Exp $ -->
<sections>
<version>1.5</version>
-<date>2006-09-01</date>
+<date>2008-05-16</date>
<!--
<section>
@@ -99,7 +99,7 @@
</subsection>
<subsection>
-<title>Konfigurowanie odwzorowania tożsamości SELinux (profil 2006.1 i nowsze)</title>
+<title>Konfigurowanie odwzorowania tożsamości SELinux</title>
<body>
<p>
@@ -171,46 +171,6 @@
</body>
</subsection>
-<subsection>
-<title>Konfigurowanie tożsamości SELinux (profile starsze niż 2006.1)</title>
-<body>
-
-<p>
-Tożsamości utrzymywane są w pliku użytkowników w katalogu z polityką
-SELinux. Składnia pliku jest prosta. Przykładowo, aby zezwolić użytkownikowi
-<c>pebenito</c> na korzystanie ze statusów <c>staff_r</c> i <c>sysadm_r</c>,
-należy dodać na końcu tego pliku poniższą linię:
-</p>
-
-<pre caption="Konfigurowanie tożsamości SELinux">
-user pebenito roles { staff_r sysadm_r };
-</pre>
-
-<p>
-Następnie należy załadować politykę. Aby zmiany odniosły skutek musi istnieć
-konto, którego linuksowa nazwa użytkownika to <c>pebenito</c>. Jeśli użytkownik
-nie posiada linii <c>user</c> w opisywanym pliku, to jego tożsamością będzie
-<c>user_u</c>, a jedyny status, do jakiego będzie miał dostęp, to <c>user_r</c>.
-</p>
-
-<impo>
-Zwykli użytkownicy, którzy posiadają tożsamości, powinni posiadać dostęp do
-statusu <c>user_r</c>, ale nie do <c>staff_r</c>. Administratorzy powinni mieć
-dostęp do statusów <c>staff_r</c> i <c>sysadm_r</c>. Każdy użytkownik musi
-posiadać dostęp do statusu <c>user_r</c> lub <c>staff_r</c>. W innym przypadku
-użytkownik ten nie będzie mógł zalogować się zdalnie.
-</impo>
-
-<p>
-Gdy nadajemy użytkownikowi tożsamość, jego katalog domowy (oraz zawartość tego
-katalogu) powinien zostać prawidłowo oznakowany. Znakowanie zostanie wykonane na
-podstawie pierwszego statusu jaki podano dla danego konta w pliku
-użytkowników. Przykładowo, katalog domowy, zaprezentowanego wyżej użytkownika
-pebenito, zostanie oznakowany jako <c>staff_home_dir_t</c>.
-</p>
-
-</body>
-</subsection>
</section>
<section>
@@ -310,310 +270,7 @@
</section>
<section>
-<title>Pliki polityki SELinux (profile starsze niż 2006.1)</title>
-<subsection>
-<body>
-
-<p>
-Polityka SELinux zazwyczaj rezyduje w katalogu
-<path>/etc/security/selinux/src/policy</path>. Składa się ona z kilku plików i
-katalogów potrzebnych do jej wygenerowania. Dla ułatwienia tworzenia polityki,
-zastosowane zostały makra edytora m4 do wielokrotnego wykorzystywania
-powszechnie stosowanych zasad. Pliki polityki zostają przetworzone przez
-m4. Następnie kompilator polityk - <c>checkpolicy</c> - weryfikuje ich
-poprawność składniową i tworzy binarny plik polityki, który może zostać
-załadowany do działającego jądra SELinux.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Pliki Make</title>
-<body>
-
-<p>
-Plik Make polityki odpowiedzialny jest za jej kompilację i instalację w
-systemie. Posiada on jedną konfigurowalną opcję, przeznaczoną do kontrolowania
-<uri link="#doc_chap6">wersji polityki</uri> oraz cztery formuły, powodujące
-różne działania:
-</p>
-
-<table>
-<tr>
- <th>Komenda</th>
- <th>Opis</th>
-</tr>
-<tr>
- <ti>make policy</ti>
- <ti>Kompiluje obecną politykę do binarnego pliku.</ti>
-</tr>
-<tr>
- <ti>make install</ti>
- <ti>
- Kompiluje i instaluje obecną politykę do katalogu
- <path>/security/selinux/src</path>.
- </ti>
-</tr>
-<tr>
- <ti>make load</ti>
- <ti>
- Kompiluje, instaluje i ładuje obecną politykę do działającego jądra
- SELinux.
- </ti>
-</tr>
-<tr>
- <ti>make relabel</ti>
- <ti>
- Dokonuje oznaczenia systemu plików przy użyciu kontekstów plików z
- polityki.
- </ti>
-</tr>
-</table>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik assert.te</title>
-<body>
-
-<p>
-Asercje z pliku <path>assert.te</path> zostaną sprawdzone podczas końcowego
-etapu kompilacji polityki. Jeśli jakieś uprawnienia zapewniane przez politykę
-będą zgodne z asercjami z tego pliku, to kompilator odrzuci politykę. Może to
-pomóc w upewnieniu się, że określone uprawnienia nigdy nie zostaną dopuszczone.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik attrib.te</title>
-<body>
-
-<p>
-Atrybuty danego typu mogą zostać wykorzystane do zidentyfikowania grupy typów o
-podobnych właściwościach. Każdy typ może posiadać dowolną ilość atrybutów, a
-każdy atrybut może wiązać się z dowolną ilością typów. Atrybuty są jawnie
-zadeklarowane w pliku <path>attrib.te</path> i mogą zostać połączone z
-poszczególnymi typami w czasie deklarowania tychże typów. Nazwy atrybutów mogą
-następnie zostać wykorzystane w konfiguracji, aby określić grupę typów z nimi
-powiązanych.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik constraints</title>
-<body>
-
-<p>
-Plik <path>constraints</path> definiuje dodatkowe ograniczenia dostępu w formie
-wyrażeń, które muszą zostać spełnione, aby określone prawa dostępu zostały
-nadane. Te ograniczenia są następnie wykorzystywane do uściślenia tabel
-egzekucji typów i praw dostępu opartych na statusach. Zazwyczaj reguły te
-stosuje się w celu ograniczenia zmian w tożsamości użytkownika lub jego
-statusie do określonego zakresu.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Katalog domains/</title>
-<body>
-
-<p>
-Katalog <path>domains/</path> zawiera zasady egzekucji typów. Znajdują się tu
-pliki <c>admin.te</c>, <c>staff.te</c> i <c>user.te</c>, opisujące prawa dostępu
-dla statusów <c>sysadm_r</c>, <c>staff_r</c> i <c>user_r</c>. Katalog
-<path>program/</path> zawiera wszystkie pliki aktywnej polityki odwołujące się
-do programów i demonów. W katalogu <path>misc/</path> znajdują się wszystkie
-pozostałe pliki polityki.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Katalog file_contexts/</title>
-<body>
-
-<p>
-Katalog <path>file_contexts/</path> zawiera pliki, opisujące konteksty
-bezpieczeństwa wszystkich plików na niewymiennych napędach. Znajduje się tu plik
-<c>types.fc</c>, który zawiera wszystkie konteksty dla systemu
-podstawowego. W katalogu <path>program/</path> znajdziemy konteksty
-bezpieczeństwa dla demonów znajdujących się w katalogu
-<path>domains/program/</path>. Każdemu plikowi z <path>domains/program/</path>
-odpowiada plik w katalogu <path>file_contexts/program/</path>, przykładowo
-plikowi polityki <path>domains/program/syslogd.te</path> odpowiada plik z
-kontekstami bezpieczeństwa <path>file_contexts/program/syslogd.fc</path>.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Katalog flask/</title>
-<body>
-
-<p>
-Katalog <path>flask/</path> zawiera pliki konfiguracyjne niezależne od
-polityki. Pliki te przechowują definicje odwołujące się do nagłówków
-jądra. <e>Nie należy</e> wprowadzać zmian w tym katalogu.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik fs_use</title>
-<body>
-
-<p>
-<path>fs_use</path> opisuje sposób oznaczania plików na różnych systemach
-plików. Przykładowo, dla systemu plików ext3 używane jest trwałe znakowanie,
-podczas gdy dla tmpfs wykorzystuje się pośrednie numery ID. Generalnie <e>nie
-należy</e> wprowadzać zmian w tym pliku.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik genfs_contexts</title>
-<body>
-
-<p>
-Plik <path>genfs_contexts</path> zawiera konteksty bezpieczeństwa dla plików,
-dla których nie są obsługiwane pośrednie oznaczenia, np. <c>/proc</c>.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik initial_sid_contexts</title>
-<body>
-
-<p>
-Plik <path>initial_sid_contexts</path> zawiera początkowe konteksty dla każdego
-numeru ID. Generalnie <e>nie należy</e> modyfikować tego pliku.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Katalog macros/</title>
-<body>
-
-<p>
-Katalog <path>macros/</path> zawiera makra m4, używane do łatwego tworzenia i
-zarządzania politykami. Znajduje się tu plik <path>admin_macros.te</path>,
-służący do określenia typów administracyjnych, takich jak
-<c>sysadm_t</c>. Plik <path>user_macros.te</path> zawiera makra wykorzystywane w
-domenach użytkowników, np. <c>user_t</c> i <c>staff_t</c>. W pliku
-<path>global_macros.te</path> znajdują się makra wykorzystywane w całej
-polityce.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik mls</title>
-<body>
-
-<p>
-Plik <path>mls</path> zawiera konfigurację bezpieczeństwa wielopoziomowego
-(Multi-level Security) SELinux. Bezpieczeństwo wielopoziomowe jest funkcją
-eksperymentalną i nie jest obsługiwane w Gentoo.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik net_contexts</title>
-<body>
-
-<p>
-Plik <path>net_contexts</path> definiuje konteksty bezpieczeństwa dla obiektów
-sieciowych, takich jak porty, interfejsy, węzły. Jeśli demony działają na
-niestandardowych portach, konieczne będzie zmodyfikowanie tego pliku.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik rbac</title>
-<body>
-
-<p>
-W przeszłości ten plik to było główne miejsce deklaracji ról. Od tej pory
-jednak deklaracje ról zostały rozdzielone na poszczególne pliki TE. Teraz plik
-ten służy tylko do zmiany ról sysadm_r i system_r role.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Katalog tmp/</title>
-<body>
-
-<p>
-Katalog <path>tmp/</path> jest wykorzystywany do przechowywania tymczasowych
-plików w czasie kompilowania polityki. Jeśli jest to konieczne, katalog ten
-można bezpiecznie usunąć.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik tunable.te</title>
-<body>
-
-<p>
-Plik <path>tunable.te</path> jest głównym plikiem konfiguracyjnym polityki.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Katalog types/</title>
-<body>
-
-<p>
-Katalog <path>types/</path> zawiera pliki przeznaczone do deklarowania ogólnych
-typów, które nie pojawiają się w indywidualnych politykach programów.
-</p>
-
-</body>
-</subsection>
-
-<subsection>
-<title>Plik users</title>
-<body>
-
-<p>
-Plik <path>users</path> opisuje tożsamości SELinux oraz statusy jakie mogą one
-przyjmować.
-</p>
-
-</body>
-</subsection>
-</section>
-
-<section>
-<title>Pliki polityki SELinux (profil 2006.1 i nowsze)</title>
+<title>Pliki polityki SELinux</title>
<subsection>
<body>
@@ -687,40 +344,15 @@
</p>
<note>
-Jeśli korzystamy z profilu 2006.1 lub nowszego, to infrastruktura zarządzania
-politykami (libsemanage) automatycznie utworzy i zastosuje polityki w
-odpowiedniej wersji. Nie są wymagane żadne dodatkowe czynności.
+Infrastruktura zarządzania politykami (libsemanage) automatycznie utworzy i
+zastosuje polityki w odpowiedniej wersji. Nie są wymagane żadne dodatkowe
+czynności.
</note>
</body>
</subsection>
<subsection>
-<title>Kompilowanie właściwej wersji polityki (profile starsze niż 2006.1)</title>
-<body>
-
-<p>
-Jedyna zmiana, jakiej musimy dokonać, kompilujac nową wersję polityki, zawiera
-się w pliku Makefile polityki. W początkowej części tego pliku znajduje się
-linia podobna do poniższej.
-</p>
-
-<pre caption="Edycja pliku Makefile polityki">
-POLICYCOMPAT = -c 15
-</pre>
-
-<p>
-Standardowo, <c>checkpolicy</c> wygeneruje politykę dla obecnej wersji. Aby
-sprawdzić wersję polityki, jaką <c>checkpolicy</c> może utworzyć, należy wykonać
-polecenie <c>checkpolicy -V</c>. Po odkomentowaniu powyższej linii może zostać
-utworzona kompatybilna polityka. Powyższe ustawienie sprawi, że utworzona
-zostanie polityka w wersji 15 (można to zmienić na wersję 16).
-</p>
-
-</body>
-</subsection>
-
-<subsection>
<title>Wersje polityk</title>
<body>
@@ -771,7 +403,12 @@
<tr>
<ti>21</ti>
<ti>Klasy obiektów w zakresach przejściowych</ti>
- <ti>2.6.19 - current</ti>
+ <ti>2.6.19 - 2.6.24</ti>
+</tr>
+<tr>
+ <ti>22</ti>
+ <ti>Właściwości polityk</ti>
+ <ti>2.6.25 - aktualny</ti>
</tr>
</table>
@@ -853,11 +490,10 @@
<p>
Aby przypisać nową wartość i uczynić ją domyślną dla danej zmiennej, należy użyć
-parametru <c>-P</c>. Jest to możliwe jedynie w przypadku profilu 2006.1 i
-nowszych.
+parametru <c>-P</c>.
</p>
-<pre caption="Zmienianie domyślnej wartości zmiennej (2006.1+)">
+<pre caption="Zmienianie domyślnej wartości zmiennej">
# setsebool -P user_ping 1
</pre>
^ permalink raw reply [flat|nested] only message in thread
only message in thread, other threads:[~2008-07-25 13:07 UTC | newest]
Thread overview: (only message) (download: mbox.gz follow: Atom feed
-- links below jump to the message on this page --
2008-07-25 13:07 [gentoo-commits] gentoo commit in xml/htdocs/proj/pl/hardened/selinux: hb-selinux-overview.xml Damian Kuras (shadow)
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox