Authenticating root.

Password:

[oot@grinder /]# avc_toggle

permissive

Вот теперь все нормально. Но в защищенном режиме процесс, запущенный от имени суперпользователя, не сможет получить полный доступ, как в обычной UNIX-системе. После полной отладки режимов защиты, когда определены все приложения и роли, необходимо добавить опцию «enforcing=1» в команде, передаваемой ядру при загрузке, в этом случае всегда будет возможность вернуться к отладочному режиму или для обеспечения более строгой защиты лучшим вариантом будет пересобрать ядро без Development Support, чтобы система сразу стартовала в enforcing-режиме, (но ядро с Development Support лучше всего все равно сохранить).

Управление политикой защиты

Эта тема сама по себе очень большая, на сайте проекта можно найти подробную документацию по данному вопросу, но несколько простых моментов я затрону. Все файлы политик устанавливаются в каталог /etc/security/selinux/src, если по какой-либо причине там пусто, то скопируйте все из дистрибутивного каталога ./selinux/policy в /etc/security/selinux/src. В файле «users» определены пользователи, признаваемые политикой защиты, чтобы система допускала пользователя к работе, он должен иметь запись в данном файле. В каталоге file_contexts содержится информация для маркирования каждого типа программы в системе, все программы описаны в каталоге file_contexts/program. Например, в file_contexts/program/apache.fc содержится информация, необходимая для того, чтобы распознавался веб-сервер Apache. Часть файла привожу в качестве примера.

/var/www/html(/.*)?            system_u:object_r:httpd_sys_content_t

/var/www/mrtg(/.*)?            system_u:object_r:httpd_sys_content_t

/var/www/cgi-bin(/.*)?            system_u:object_r:httpd_sys_script_t

/usr/lib/cgi-bin(/.*)?            system_u:object_r:httpd_sys_script_t