Шрифт:
Рис. 7.18. Конфигуратор system-config-selinux
Также с помощью этого конфигуратора можно определить привилегии пользователей (User Privs) и администратора (Admin) (рис. 7.19).
Рис. 7.19. Привилегии пользователей
Каталог /selinux - это псевдофайловая система selinuxfs, которую можно использовать как для управления SELinux, так и для получения информации о работе SELinux. Но, как правило, данный каталог используется самой системой SELinux, а для изменения параметров системы намного удобнее использовать конфигуратор system-config-selinux.
7.7.6. Режим предупреждений
Как уже было отмечено, в режиме предупреждений в файл /var/log/messages выводятся предупреждения о запрещении доступа, но сам доступ к объекту не запрещается. Вывести все SELinux сделанные предупреждения можно с помощью команды:
# cat /var/log/messages | audit
Рассмотрим пример типичного сообщения о запрещении доступа к объекту (это не реально сделанное предупреждение, а просто пример предупреждения):
Oct 21 16:l0:l5 dhsilabs kernel: audit(2149208252_610:29):avc: denied {read} for pid=1554 comm="bash" name="/etc/shadow" dev=hda5 ino=13671 sсontext =root:system_r:hotplug_t tcontext-root:object_r:user_home_t tclass=file
Оно означает, что 21 октября в 16:10 на машине dhsilabs процесс bash (comm) с PID (идентификатор процесса) 1554 (pid) попытался открыть для чтения (read) файл /etc/shadow (name) с номером инода 13671 (ino), yстройство, на котором находился файл, называется hda5, контекст безопасности задается как scontext. Операция чтения была запрещена (denied).
7.8. Псевдофайловая система /proc
7.8.1. Кратко о /proc
Псевдофайловая система /proc является специальным механизмом, который позволяет получать информацию о системе от самого ядра, а также передавать информацию ядру, модулям ядра и его процессам.
Файловая система /proc находится в оперативной памяти компьютера, однако вы можете обращаться к файлам и подкаталогам каталога /proc так же, как и к остальным файлам на жестком диске. Единственное, что напоминает о ее "виртуальности" (файловая система /proc является виртуальной - Virtual File System) - это размер файлов. Посмотрите на размер любого файла из каталога /proc: он равен 0. Но если вы его откроете, то увидите, что файл содержит-таки информацию. Это объясняется тем, чти содержимое файла формируется "на лету" - сразу после получения запроса на открытие файла,
В каталоге /proc есть только два типа файлов. Первый тип - это информационные файлы, позволяющие получить информацию о системе и о процессах. Данные файлы доступны только для чтения.
Второй тип файлов используется для передачи информации ядру или его модулям. Такие файлы доступны как для чтения (чтобы узнать текущие значения параметров), так и для записи (чтобы изменить это значение).
Как и в случае с обычными файлами, просмотреть информационный файл можно с помощью команды cat:
cat /proc/путь/файл [| less]
Изменить параметр системы можно путем записи нового значения параметра в соответствующий proc-файл:
echo "значение" › /proc/путь/файл
7.8.2. Некоторые информационные файлы
Рассмотрим некоторые информационные файлы, доступные в псевдофайловой системе /proc:
• /proс/version - содержит версию ядра;
• /proc/cmdline - позволяет просмотреть список параметров, которые были переданы ядру при загрузке;
• /proс/apuinfo - Содержит информацию о процессоре;
• /proc/meminfo - предоставляет информацию об использовании оперативной памяти;
• /proc/devices - содержит список устройств;
• /proc/filesystems - содержит список файловых систем, которые поддерживаются вашей системой;
• /proc/mounts - содержит список "подмонтированных" в данный момент файловых систем;
• /proc/modules - содержит список загруженных модулей;
• /proc/swaps - список используемых разделов и файлов подкачки.
Например, вы можете получить информацию о процессоре с помощью следующей команды:
cat /proc/cpuinfо
Система выдаст в ответ следующую информацию:
processor: 0
vendor_id: GenuineIntel
cpu family: 6
model: 15
model name: Genuine Intel(R) CPU 2160 @ 1.80GHz
stepping: 2
cpu MHz: 1798.238
cache size: 1024 KB