semanage используется для настройки некоторых элементов политики
SELinux без необходимости модификации или повторной компиляции исходного
текста политики. В число таких настроек входит сопоставление имен пользователей
Linux пользователям SELinux (которые контролируют исходный контекст безопасности,
присваиваемый пользователям Linux во время их регистрации в системе, и ограничивают
доступный набор ролей). Также в число настраиваемых элементов входит сопоставление
контекстов безопасности для различных видов объектов, таких как: сетевые порты,
интерфейсы, сетевые узлы (хосты), а также контексты файлов. В секции ПРИМЕРЫ можно познакомиться
с некоторыми распространенным примерами использования утилиты.Обратите внимание, что
при вызове команды semanage login сопоставляются имена пользователей Linux (logins)
пользователям SELinux. А при вызове команды semanage user сопоставляются пользователи SELinux
доступному набору ролей.
В большинстве случаев администратором выполняется настройка только первого типа сопоставлений.
Второй тип сопоставлений как правило определяется базовой политикой и обычно не требует модификации.
ОПЦИИ
-a, --add
Добавить запись ОБЪЕКТА с заданным ИМЕНЕМ
-d, --delete
Удалить запись ОБЪЕКТА с заданным ИМЕНЕМ
-f, --ftype
Тип файла. Эта опция используется совместно с fcontext.
Тип необходимо указывать в таком же виде, как и в выводе программы ls, иными словами
-- указывает на обыкновенные файлы, а -d только на директории.
-h, --help
показать справку
-l, --list
Вывести список ОБЪЕКТОВ
-L, --level
Уровень чувствительности SELinux по умолчанию, s0 по умолчанию (только для систем с поддержкой MLS/MCS).
-m, --modify
Изменить ОБЪЕКТ с заданным ИМЕНЕМ записи
-n, --noheading
Не выводить шапку таблицы при печати списка ОБЪЕКТОВ
-p, --proto
Протокол, используемый для указанного порта (tcp|udp).
-r, --range
Диапазон безопасности MLS/MCS (только для систем с поддержкой MLS/MCS)
-R, --role
Роли SELinux. При указании нескольких ролей нужно отделить их пробелами и заключить в кавычки или указывать опцию -R необходимое число раз.
-P, --prefix
Префикс SELinux. При установке меток на домашние директории пользователей префикс добавляется к home_dir_t и home_t.
-s, --seuser
Имя пользователя SELinux
-t, --type
Тип объекта SELinux
-T, --trans
Трансляция SELinux (SELinux Translation)
ПРИМЕРЫ
# Просмотреть сопоставления для пользователей SELinux
$ semanage user -l
# Разрешить joe регистрироваться как staff_u
$ semanage login -a -s staff_u joe
# Определить контекст файлов для всего, расположенного в /web (потом это определение используется утилитой restorecon)
$ semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"
# Разрешить демону Apache прослушивать порт с номером 81
$ semanage port -a -t http_port_t -p tcp 81
