Documentation made easier
restorecon − восстановить SELinux-контексты безопасности файлов по умолчанию.
restorecon [−r|−R] [−m] [−n] [−p] [−v] [−i] [−F] [−W] [−I|−D] [−e directory] pathname ...
restorecon [−f infilename] [−e directory] [−r|−R] [−m] [−n] [−p] [−v] [−i] [−F] [−W] [−I|−D]
Эта страница руководства содержит описание программы restorecon.
Эта программа используется в основном для установки контекста безопасности (расширенных атрибутов) для одного или нескольких файлов.
Также можно запустить её в любой момент, чтобы исправить некорректные метки, добавить поддержку недавно установленной политики или, используя параметр −n , пассивно проверить, соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию).
Если объект файла не имеет контекста, restorecon запишет контекст по умолчанию в расширенные атрибуты объекта файла. Если объект файла имеет контекст, restorecon изменит только ту часть контекста безопасности, которая относится к типу. Параметр −F позволяет принудительно заменить контекст целиком.
Если у файла имеется метка настраиваемого типа SELinux customizable (список настраиваемых типов: /etc/selinux/{SELINUXTYPE}/contexts/customizable_types), restorecon выполнит сброс метки только при условии использования параметра −F.
Эта программа аналогична setfiles, но действует немного другим образом в зависимости от значения argv[0].
−e directory
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать соответствующее количество раз; необходимо указывать полный путь).
−f infilename
infilename содержит список файлов для обработки. Используйте “−” для stdin.
|
−F |
принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а также тип). | ||
|
−h, −? |
показать сведения об использовании и выйти. | ||
|
−i |
игнорировать файлы, которые не существуют. | ||
|
−I |
игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе ПРИМЕЧАНИЯ. | ||
|
−D |
установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута security.restorecon_last. | ||
|
−m |
не выполнять чтение /proc/mounts для получения списка монтирований без seclabel, которые следует исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге смонтирована файловая система с seclabel. | ||
|
−n |
не изменять метки файлов (пассивная проверка). Чтобы просмотреть файлы, метки которых были бы изменены, добавьте −v. |
−o outfilename
этот параметр устарел и больше не поддерживается.
|
−p |
показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите внимание, что параметры −p и −v являются взаимоисключающими. | ||
|
−R, −r |
рекурсивно изменить метки файлов для файлов и каталогов (спускаться по каталогам). | ||
|
−v |
показать изменения в метках файлов. Использование нескольких параметров -v увеличивает уровень детализации. Обратите внимание, что параметры −v и −p являются взаимоисключающими. | ||
|
−W |
показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью вывода результатов selabel_stats(3). | ||
|
−0 |
предполагается, что разделителем для элементов ввода является символ нуля (вместо пробела). Символы кавычек и обратной косой черты также считаются обычными символами, которые могут формировать допустимый ввод. Этот параметр также отключает строку конца файла (end-of-file string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или обратные косые черты. Параметр −print0 GNU find производит ввод, подходящий для этого режима. |
pathname ... Путь к файлу (файлам), для которых следует повторно проставить метки.
|
1. |
restorecon не переходит по символическим ссылкам и по умолчанию не работает с каталогами рекурсивно. | ||
|
2. |
Если в pathname указан корневой каталог, установлен параметр −vR или −vr, а также запущена система аудита, в журнал с меткой сообщения FS_RELABEL автоматически записывается событие аудита, которое содержит сообщение о том, что произошло "массовое повторное проставление меток". | ||
|
3. |
Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах (то есть тогда, когда установлен параметр −R или −r ), параметр −D команды restorecon обеспечит сохранение дайджеста SHA1 файлов спецификации по умолчанию в расширенном атрибуте с именем security.restorecon_last для каталогов, указанных в соответствующих путях pathname ... , после успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда restorecon −D будет перезапущена с теми же параметрами pathname. Подробные сведения доступны в selinux_restorecon(3). |
Параметр −I позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в pathname ... , и, при условии, что НЕ установлен параметр −n и установлен рекурсивный режим, для файлов будут необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).
setfiles(8), fixfiles(8), load_policy(8), checkpolicy(8), customizable_types(5)
Эта man-страница была написана Dan Walsh <dwalsh@redhat.com>. Некоторая часть содержимого этой man-страницы была взята из man-страницы setfiles, написанной Russell Coker <russell@coker.com.au>. Программа была написана Dan Walsh <dwalsh@redhat.com>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.