aboutsummaryrefslogtreecommitdiff
blob: 9a16863fc997cba885de2ef2850ac973aafefe71 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
.TH  "samba_selinux"  "8"  "17 Янв 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation"
.SH "НАЗВАНИЕ"
samba_selinux \- Политика Security Enhanced Linux для Samba
.SH "ОПИСАНИЕ"

Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа.  
.SH КОНТЕКСТ ФАЙЛОВ
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. 
Политика управляет видом доступа демона к этим файлам. 
Если вы хотите предоставить доступ к файлам вовне домашних директорий, этим файлам необходимо
присвоить контекст samba_share_t. 
Таким образом, если вы создаете специальную директорию  /var/eng,  то  вам  необходимо
установить  контекст для этой директории при помощи утилиты chcon.
.TP
chcon -t samba_share_t /var/eng
.TP

Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
.TP
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
.br
/var/eng(/.*)? system_u:object_r:samba_share_t

.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить команду:

setsebool -P allow_smbd_anon_write=1

.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
.br 
Политика SELinux настраивается исходя из принципа наименьших привилегий.
Таким образом, по умолчанию политика SELinux не позволяет предоставлять удаленный доступ
к домашним директориям и не позволяет использовать удаленный сервер Samba для хранения 
домашних директорий.
.TP
Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним
директориям, вы должны установить переключатель samba_enable_home_dirs.
.br

setsebool -P samba_enable_home_dirs 1
.TP
Если вы хотите для хранения домашних директорий пользователей этой машины использовать удаленный
сервер Samba, вы должны установить переключатель use_samba_home_dirs.
.br 

setsebool -P use_samba_home_dirs 1
.TP
Для управления настройками SELinux существует графическая утилита system-config-selinux.

.SH АВТОРЫ	
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.

.SH "СМОТРИ ТАКЖЕ"
selinux(8), samba(7), chcon(1), setsebool(8)