Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
04 mai 2017

selinux rbac security           Contexte SELinux


semanage.conf

semanage.conf

Fichier de configuration global pour la libraire de gestion SELinux

OPTIONS

module-store Spécifie comment la libraire interagit avec le magasin de stratégie SELinux

        direct Écris directement dans le magasin de stratégie (défaut)
        ‹socket path› Chemin absolu vers un socket utilisé pour se connecter au serveur de gestion de stratégie
        ‹server name› Nom et port d'un serveur de gestion de stratégie utilisé sur TCP.

root Chemin racine alternatif pour le magasin. Défaut: /
store-root Chemin racine du magasin alternatif. Défaut: /var/lib/selinux
compiler-directory Répertoire alternatif contenant les compilateurs HLL vers CIL. Défaut: /usr/libexec/selinux/hll
ignore-module-cache true|false ignore ou non le cache des modules CIL compilés depuis HLL. Défaut: false.
policy-version en générant la stratégie, semanage défini POLICYDB_VERSION_MAX tel que définis dans ‹sepol/policydb/policydb.h›. Ce paramètre permet de définir une autre versions
target-platform 0|1 Vérifie ou non les règles neverallow en exécutant la commande semanage. Défaut: 1
file-mode Par défaut le mode de permission pour les fichiers de stratégie temps-réer est à 0644
save-previous true|false Contrôle si le répertoire du module précédent est sauvé après être validé avec succès dans le magasin de stratégie. Défaut: false (la version précédente est supprimée)
save-linked true|false Contrôle si le module lié précédent est sauvé (avec le nom base.linked) une fois correctement chargé dans le magasin de stratégie. Défaut: false (le module précédent est supprimé)
ignoredirs Liste de répertoires séparés par des ';' de répertoires à ignorer en définisant les répertoires personnels utilisateur.
usepasswd true|false Active l'utilisation de getpwent() pour obtenir une liste de répertoire home à labéliser. défaut: true
disable-genhomedircon true|false Contrôle si la fonction genhomedircon est exécutée avec la commande semanage. Défaut: false
handle-unknown deny|reject|allow Contrôle le comportement du kernel pour gérer les permisssions définies dans le kernel, mais manquante dans la stratégie courante.
bzip-blocksize [0-9] 0-pas de compression. Défaut: 9
bzip-small true|false indique si l'algorithme bzip tente de réduire son utilisation mémoire. Défaut: false
remove-hll true|false à true, les fichiers HLL seront supprimés après recompilation dans CIL.