[Ingin mencoba Red Hat Enterprise Linux? Unduh sekarang secara gratis.]
Ada banyak halaman manual yang sangat baik untuk domain terbatas yang disertakan dengan kebijakan SELinux. Halaman manual ini menjelaskan boolean dan tipe konteks untuk setiap domain. Mereka juga menyertakan contoh semanage
perintah untuk menambahkan pemetaan konteks, mengubah boolean, dan lainnya.
Sayangnya untuk sysadmin yang memulai konfigurasi SELinux, halaman manual ini sering kali tidak diinstal secara default. Halaman manual kebijakan SELinux tersedia dari dua lokasi. Repo Kebijakan Referensi hulu memiliki beberapa halaman manual yang dibuat sebelumnya. Sisanya dapat dihasilkan dari konten kebijakan dengan alat yang ditemukan di policycoreutils-devel
paket.
Instal dari paket distribusi
Beberapa distribusi membuat halaman manual sebelumnya dan mengemasnya agar dokumentasi mudah ditambahkan ke sistem Anda. Fedora, CentOS, dan Red Hat Enterprise Linux 8 semuanya menyertakan selinux-policy-doc.noarch
paket di repositori dasar mereka. Paket ini tidak diinstal secara default, tetapi mudah ditambahkan dengan yum
atau dnf
perintah:
$ sudo yum install selinux-policy-doc.noarch
Red Hat Enterprise Linux 7 memiliki paket ini juga, tetapi dalam repo "Opsional" yang tidak diaktifkan secara default. Aktifkan repo secara permanen dengan subscription-manager
:
$ sudo subscription-manager repo --enable=rhel-7-server-optional-rpms
atau cukup tambahkan repo sementara selama instalasi:
$ sudo yum --enablerepo=rhel-7-server-optional-rpms install selinux-policy-doc.noarch
Sekarang setelah dokumentasi domain SELinux tersedia, cari halaman yang relevan dengan:
$ man -k _selinux
Catatan: Setelah menginstal paket dokumen, Anda mungkin juga perlu memperbarui cache indeks halaman manual sebelum melihat hasil dari pencarian:
$ sudo mandb
Buat halaman manual dari kebijakan
Jika paket dokumen tidak tersedia, atau jika Anda hanya ingin membuat halaman manual untuk domain tertentu, Anda juga dapat membuat halaman manual dari kebijakan. Pertama, instal devel
paket dan dependensinya:
$ sudo yum install policycoreutils-devel
Kemudian, gunakan sepolicy
perintah untuk menghasilkan halaman manual tertentu dengan menentukan tipe domain (tipe konteks SELinux yang terkait dengan proses yang sedang berjalan). Misalnya:
$ sepolicy manpage -d httpd_t
Halaman manual yang dihasilkan akan dibuat di /tmp
direktori dan dapat dilihat dengan nama:
$ man /tmp/httpd_selinux.8
Ada opsi untuk sepolicy manpage
perintah untuk mengganti lokasi keluaran (--path
), buat versi html (--web
), atau buat semua (--all
) halaman. Untuk melihat opsi ini dan opsi lainnya, gunakan:
$ man sepolicy-manpage
Selama pengguna memiliki hak menulis ke jalur keluaran, mereka dapat membuat dan melihat halaman manual.
Pratinjau keajaiban halaman manual ini
Halaman manual SELinux untuk jenis domain semuanya memiliki tata letak yang sama. Seperti halnya kumpulan halaman manual, semakin banyak halaman manual yang Anda baca, semakin mudah untuk memindai atau mempercepat membaca halaman berikutnya.
Setiap halaman manual dimulai dengan bidang NAMA dan DESCRIPTION yang diharapkan dari halaman manual mana pun. Halaman manual domain SELinux kemudian menyertakan bagian ENTRYPOINTS dan PROCESS TYPES. (Titik masuk adalah jenis yang ditetapkan ke file yang dapat dieksekusi, yang ketika diluncurkan sebagai daemon akan bertransisi ke jenis proses terbatas.)
Tidak semua jenis proses adalah daemon, beberapa mungkin merupakan executable interaktif. Misalnya, sshd_exec_t
adalah titik masuk yang bertransisi ke sshd_t
jenis proses. Selain itu, sshd_t
, ssh_t
, dan ssh_keygen_t
dan juga merupakan contoh tipe proses.
Jenis proses juga dikenal sebagai jenis domain dan merupakan jenis yang dapat ditempatkan ke mode permisif dengan semanage
perintah.
Setelah bagian titik masuk dan jenis proses, halaman manual domain SELinux memiliki bagian untuk BOOLEAN, JENIS PORT, FILE YANG DIKELOLA, dan KONTEKS FILE yang berlaku untuk domain itu. Bagian ini menentukan kata kunci dan memberikan contoh untuk modifikasi yang dapat dilakukan dengan semanage
memerintah. Mengaktifkan boolean memungkinkan kumpulan aturan yang berbeda untuk kasus penggunaan yang berbeda. Modifikasi konteks file dan port memungkinkan sistem dikonfigurasi untuk menyimpan data di lokasi non-default atau dijalankan di port non-default.
Setiap halaman manual diakhiri dengan daftar COMMANDS yang direferensikan di halaman manual dan halaman manual tradisional AUTHOR dan bagian LIHAT JUGA.
Mulai menjelajah
Dengan targeted
kebijakan, httpd
halaman domain mungkin yang terpanjang, karena domain itu memiliki boolean dan tipe file paling banyak untuk dideskripsikan. Itu juga salah satu domain pertama yang dibatasi dalam sejarah targeted
SELinux kebijakan.
Mulailah dengan domain yang Anda kenal seperti sshd
, httpd
, atau ntpd
. Kemudian cari domain yang relevan dengan lingkungan Anda. Setelah menginstal selinux-docs
paket, saya memiliki lebih dari 850 halaman manual untuk dijelajahi di sistem saya!
Dan ingat, pertahankan penegakan SELinux! (Begini caranya.)