selinux-faq selinux-faq-it.xml,1.3,1.4
Francesco Tombolini (tombo)
fedora-docs-commits at redhat.com
Sat Feb 4 02:46:08 UTC 2006
- Previous message (by thread): release-notes ArchSpecificPPC-en.xml, 1.2, 1.3 ArchSpecificPPC-it.xml, 1.3, 1.4 ArchSpecificPPC-ru.xml, 1.2, 1.3 ArchSpecificPPC-zh_CN.xml, 1.3, 1.4
- Next message (by thread): docs-common Makefile,1.5,1.6
- Messages sorted by:
[ date ]
[ thread ]
[ subject ]
[ author ]
Author: tombo
Update of /cvs/docs/selinux-faq
In directory cvs-int.fedora.redhat.com:/tmp/cvs-serv10979
Modified Files:
selinux-faq-it.xml
Log Message:
updated to v1.5-1
Index: selinux-faq-it.xml
===================================================================
RCS file: /cvs/docs/selinux-faq/selinux-faq-it.xml,v
retrieving revision 1.3
retrieving revision 1.4
diff -u -r1.3 -r1.4
--- selinux-faq-it.xml 14 Dec 2005 06:47:27 -0000 1.3
+++ selinux-faq-it.xml 4 Feb 2006 02:46:01 -0000 1.4
@@ -6,11 +6,11 @@
<!ENTITY % FEDORA-ENTITIES-EN SYSTEM "../docs-common/common/fedora-entities-it.ent">
%FEDORA-ENTITIES-EN;
-<!ENTITY BOOKID "selinux-faq-1.3-8 (2005-01-20-T16:20-0800)"> <!-- version of manual and date -->
+<!ENTITY DOCID "selinux-faq-1.5-1 (2005-12-30-T12:21-0500)"> <!-- version of manual and date -->
<!-- ************** local entities *********** -->
<!ENTITY APACHE "Apache HTTP">
-<!ENTITY LOCALVER "3"> <!-- Set value to your choice, when guide version is out -->
+<!ENTITY LOCALVER "5"> <!-- Set value to your choice, when guide version is out -->
<!-- of sync with FC release, use instead of FEDVER or FEDTESTVER -->
<!ENTITY BUG-URL
"https://bugzilla.redhat.com/bugzilla/enter_bug.cgi?product=Fedora%20Core&op_sys=Linux&version=fc3&component=fedora-docs&component_text=&rep_platform=All&priority=normal&bug_severity=normal&bug_status=NEW&assigned_to=kwade%40redhat.com&cc=&estimated_time=0.0&bug_file_loc=http%3A%2F%2Ffedora.redhat.com%2Fdocs%2Fselinux-faq-fc3%2F&short_desc=SELinux%20FAQ%20-%20%5Bsummarize%20FAQ%20change%20or%20addition%5D&comment=Description%20of%20change%2FFAQ%20addition.%20%20If%20a%20change%2C%20include%20the%20original%0D%0Atext%20first%2C%20then%20the%20changed%20text%3A%0D%0A%0D%0A%0D%0A%0D%0AVersion-Release&percn!
t;20of%20FAQ%20%28found%20on%0D%0Ahttp%3A%2F%2Ffedora.redhat.com%2Fdocs%2Fselinux-faq-fc3%2Fln-legalnotice.html%29%2C%0D%0Afor%20example%3A%0D%0A%0D%0A%20%20selinux-faq-1.3-8%20%282005-01-20-T16%3A20-0800%29%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A%0D%0A&keywords=&dependson=&blocked=118757%20%20&maketemplate=Remember%20values%20as%20bookmarkable%20template&form_name=enter_bug">
@@ -28,7 +28,10 @@
<surname>Wade</surname>
<firstname>Karsten</firstname>
</author>
- <!-- Italian locale by tombo at adamantio.net -->
+ <author>
+ <surname>Sellers</surname>
+ <firstname>Chad</firstname>
+ </author>
</authorgroup>
&LEGALNOTICE;
</articleinfo>
@@ -37,19 +40,22 @@
<title>&SEL; Note e FAQ</title>
<para>
Le informazioni in questa FAQ sono pregevoli per coloro che sono nuovi a &SEL;. Il
- loro valore è apprezzabile anche se siete nuovi alle ultime implementazioni di &SEL; in &FC;, poichè
- alcuni comportamenti potrebbero essere differenti da come sapete.
+ loro valore è apprezzabile anche se siete nuovi alle ultime implementazioni di &SEL; in &FC;,
+ poichè alcuni comportamenti potrebbero essere differenti
+ da come sapete.
</para>
<note>
<title>Questa FAQ è specifica per &FC; &LOCALVER;</title>
<para>
Se state cercando le FAQ per &FC; 2, fate riferimento a <ulink
- url="http://fedora.redhat.com/docs/selinux-faq-fc2/" />.
+ url="http://fedora.redhat.com/docs/selinux-faq-fc2/" /> o <ulink
+ url="http://fedora.redhat.com/docs/selinux-faq-fc3/" />, rispettivamente.
</para>
</note>
<para>
- Per maggiori informazioni su come funziona &SEL;, come usare &SEL; su distribuzioni
- Linux generiche e specifiche, e come scrivere policy, queste sono risorse utili:
+ Per maggiori informazioni su come funziona &SEL;, come usare &SEL; su
+ distribuzioni Linux generiche e specifiche, e come scrivere policy, queste sono
+ risorse utili:
</para>
<itemizedlist id="external-link-list">
<title>Lista Link Esterni</title>
@@ -79,13 +85,29 @@
</listitem>
<listitem>
<para>
- Writing SE Linux policy HOWTO — <ulink
+ Writing traditional SE Linux policy HOWTO — <ulink
url="https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266"
/>
</para>
</listitem>
<listitem>
<para>
+ Reference Policy (the new policy found in &FC; 5) — <ulink
+ url="http://serefpolicy.sourceforge.net/"
+ />
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ SELinux policy development training courses — <ulink
+ url="http://tresys.com/services/training.shtml"
+ /> and <ulink
+ url="https://www.redhat.com/training/security/courses/rhs429.html"
+ />
+ </para>
+ </listitem>
+ <listitem>
+ <para>
Getting Started with SE Linux HOWTO: the new SE Linux (Debian) —
<ulink
url="https://sourceforge.net/docman/display_doc.php?docid=20372&group_id=21266" />
@@ -93,6 +115,13 @@
</listitem>
<listitem>
<para>
+ List of SELinux object classes and permissions —
+ <ulink
+ url="http://tresys.com/selinux/obj_perms_help.shtml" />
+ </para>
+ </listitem>
+ <listitem>
+ <para>
On IRC — irc.freenode.net, #fedora-selinux
</para>
</listitem>
@@ -109,13 +138,13 @@
<title>Fare cambiamenti/aggiunte alla &FED; &SEL; FAQ</title>
<para>
Questa FAQ è disponibile su <ulink
- url="http://fedora.redhat.com/docs/selinux-faq-fc3/">http://fedora.redhat.com/docs/selinux-faq-fc3/</ulink>.
+ url="http://fedora.redhat.com/docs/selinux-faq-fc5/">http://fedora.redhat.com/docs/selinux-faq-fc5/</ulink>.
</para>
<para>
Per modifiche o aggiunte alle &FED; &SEL; FAQ, usate questo <ulink
url="&BUG-URL;">bugzilla template</ulink>, che precompila la maggior parte del
- rapporto d'errore. Le patches dovranno essere un <command>diff -u</command> rispetto all'XML,
- disponibile dal CVS (fate riferimento a <ulink
+ rapporto d'errore. Le patches dovranno essere un <command>diff -u</command> rispetto
+ all'XML, disponibile dal CVS (fate riferimento a <ulink
url="http://fedora.redhat.com/projects/docs/" /> per dettagli su come
ottenere il modulo fedora-docs/selinux-faq via CVS anonimo; puoi avere
solo il modulo <filename>fedors-docs/selinux-faq</filename> se non vuoi
@@ -123,7 +152,7 @@
semplice testo che mostri prima e dopo è sufficiente.
</para>
<para>
- Per avere una lista di tutti i rapporti d'errore inerenti questa FAQ, fate riferimento a <ulink
+ Per avere una lista completa delle segnalazioni d'errore inerenti questa FAQ, fate riferimento a <ulink
url="https://bugzilla.redhat.com/bugzilla/showdependencytree.cgi?id=118757">https://bugzilla.redhat.com/bugzilla/showdependencytree.cgi?id=118757</ulink>.
</para>
</tip>
@@ -223,29 +252,49 @@
contenuta in un pacchetto, con una pacchetto sorgente associato. Attualmente
i pacchetti che contengono le policy sono:
</para>
+ <itemizedlist>
+ <listitem>
+ <para><filename>selinux-policy-<replaceable><version></replaceable>.noarch.rpm</filename>
+ </para>
+ </listitem>
+ </itemizedlist>
+ <para>
+ Questo pacchetto è comune a tutti i tipi di policy e contiene files di
+ configurazione/pagine man.
+ </para>
+ <itemizedlist>
+ <listitem>
+ <para><filename>selinux-policy-devel-<replaceable><version></replaceable>.noarch.rpm</filename>
+ </para>
+ </listitem>
+ </itemizedlist>
+ <para>
+ Questo è l'ambiente di sviluppo. Questo sostituisce il
+ vecchio pacchetto -sources. Questo pacchetto contiene i files di interfaccia
+ usati nella policy reference assieme ad un Makefile ed un piccolo tool
+ usato per generate il file template della policy. I files di interfaccia
+ risiedono nella directory /usr/share/selinux/refpolicy/headers .
+ </para>
<itemizedlist>
<listitem>
- <para><filename>selinux-policy-strict-<replaceable><version-arch></replaceable>.rpm</filename>
- and
- <filename>selinux-policy-strict-sources-<replaceable><version-arch></replaceable>.rpm</filename>
+ <para><filename>selinux-policy-strict-<replaceable><version></replaceable>.noarch.rpm</filename>
</para>
</listitem>
<listitem>
<para>
- <filename>selinux-policy-targeted-<replaceable><version-arch></replaceable>.rpm</filename>
- and
- <filename>selinux-policy-targeted-sources-<replaceable><version-arch></replaceable>.rpm</filename>
+ <filename>selinux-policy-targeted-<replaceable><version></replaceable>.noarch.rpm</filename>
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ <filename>selinux-policy-mls-<replaceable><version></replaceable>.noarch.rpm</filename>
</para>
</listitem>
</itemizedlist>
<para>
- I sorgenti delle policy risiedono in
- <filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy</filename>,
- quando sono installati, ed i files binari delle policy in
- <filename>/etc/selinux/<replaceable>policyname</replaceable>/policy</filename>.
- Il sorgente delle policy non è necessario per le installazioni ultra-minimali. La
- policy per i tipi ed i domini è configurata separatamente dal
- contesto di sicurezza per i soggetti e gli oggetti.
+ I files binari della policy sono in /etc/selinux/policyname. La policy per i
+ tipi ed i domini è configurata separatamente dai contesti di sicurezza per i
+ soggetti ed oggetti.
</para>
</answer>
</qandaentry>
@@ -273,7 +322,8 @@
policy che puntasse a bloccare specifici demoni, specialmente
quelli più vulnerabili agli attacchi o più devastanti per il sistema se corrotti o
compromessi. Al resto del sistema è consentita l'esecuzione come fosse sotto
- la sicurezza standard di Linux, esempio, funzionare lo stesso se &SEL; è abilitato o meno.
+ la sicurezza standard di Linux, esempio, funzionare lo stesso se &SEL; è abilitato o
+ meno.
</para>
<para>
Sotto la policy targeted, molti processi sono eseguiti nel
@@ -289,7 +339,8 @@
boot del sistema, <command>init</command> viene eseguito sotto la
policy <computeroutput>unconfined_t</computeroutput>, ma quando viene
avviato <command>named</command>, è transitato sotto il dominio
- <computeroutput>named_t</computeroutput> ed è bloccato dalla policy appropriata.
+ <computeroutput>named_t</computeroutput> ed è bloccato
+ dalla policy appropriata.
</para>
<para>
Per maggiori informazioni sull'abilitazione e disabilitazione delle policy targeted
@@ -334,7 +385,9 @@
<para>
Gli sviluppatori di &SEL; vorrebbero aggiungere eventualmente ftp e gli agenti di
posta elettronica alla targeted policy. Ad esempio, <command>vsftpd</command> potrebbe
- funzionare in modo simile a <command>login</command>: dopo il log-in, un nuovo processo è eseguito sotto il contesto dell'utente (contesto utente reale o anonimo).
+ funzionare in modo simile a <command>login</command>: dopo il log-in, un nuovo
+ processo è eseguito sotto il contesto dell'utente
+ (contesto utente reale o anonimo).
</para>
<para>
Un problema con gli agenti di posta elettronica è che hanno spesso hanno bisogno di
@@ -369,6 +422,47 @@
<qandaentry>
<question>
<para>
+ Cos'è la policy mls? A che serve?
+ </para>
+ </question>
+ <answer>
+ <para>
+ La policy mls è simile alla policy strict, ma aggiunge ulteriori
+ campi ai contesti di sicurezza per separarne i livelli. Questi livelli possono
+ essere usati per separare dati in un ambiente che richieda una stretta
+ separazione gerarchica. L'esempio più comune che si può fare è l'ambiente
+ militare dove i dati ad un certo livello sono classificati. Questa policy è
+ gestita attraverso questa sorta di utenti, e probabilmente non ti è utile
+ a meno che tu non ricada in questa categoria.
+ </para>
+ </answer>
+ </qandaentry>
+ <qandaentry id="faq-entry-whatis-refpolicy" xreflabel="Reference Policy">
+ <question>
+ <para>
+ Cos'è la policy reference?
+ </para>
+ </question>
+ <answer>
+ <para>
+ La policy reference
+ è un nuovo progetto disegnato per riscrivere l'intera policy SELinux in modo tale
+ che sia più facile da usare e comprendere. Per questo, usa
+ i concetti di modularità , astrazione, ed interfacce ben-definite.
+ Vedi <ulink
+ url="http://serefpolicy.sourceforge.net/">la pagina del suo progetto</ulink>
+ per maggiori informazioni.
+ </para>
+ <para>
+ Le policy Fedora nella versione 1.x sono basate sull'esempio tradizionale
+ di policy. Le policy version 2.x (usate in &FC; &LOCALVER;) sono basate
+ sulla policy reference.
+ </para>
+ </answer>
+ </qandaentry>
+ <qandaentry>
+ <question>
+ <para>
Cosa sono i file contexts?
</para>
</question>
@@ -417,9 +511,9 @@
<answer>
<para>
Non c'è differenza fra un dominio ed un tipo, comunque
- il dominio è qualche volta usato per riferirsi al tipo di un processo.
- L'uso del dominio in questo modo discende dal tradizionale modello TE, dove
- i domini ed i tipi sono separati.
+ il dominio è qualche volta usato per riferirsi ad un tipo di processo.
+ L'uso del dominio in questo modo discende dal modello
+ Domain and Type Enforcement (DTE), dove i domini ed i tipi sono separati.
</para>
</answer>
</qandaentry>
@@ -670,9 +764,9 @@
continuerai ad avere errori, controlla di vedere che la Booleana che
abilita le home directories utente sia abilitata. Questo può essere impostato
usando <application>system-config-securitylevel</application>,
- sotto il tab <guilabel>&SEL;</guilabel> all'interno dell'area <guilabel>Modifica la
- Policy &SEL;</guilabel>, abilitando <computeroutput>Permetti
- ad HTTPD di leggere le home directories</computeroutput>. I cambiamenti avranno
+ sotto il tab <guilabel>&SEL;</guilabel> all'interno dell'area
+ <guilabel>Modifica la Policy &SEL;</guilabel>, abilitando <computeroutput>Permetti
+ ad HTTPD di leggere le home directory</computeroutput>. I cambiamenti avranno
effetto immediato.
</para>
</step>
@@ -766,7 +860,8 @@
per riattivare l'enforcing.
</para>
<note>
- <title>E' richiesto il ruolo <computeroutput>sysadm_r</computeroutput></title>
+ <title>E' richiesto il ruolo <computeroutput>sysadm_r</computeroutput>
+ </title>
<para>
Devi lanciare il comando <command>setenforce</command> con
il ruolo <computeroutput>sysadm_r</computeroutput>; per farlo,
@@ -790,7 +885,7 @@
linea di comando del kernel per disattivare l'auditing alle system-call.
</para>
<para>
- L'auditing alle system-call è disattivato per impostazione predefinita. Quando è attivato,
+ L'auditing alle system-call è attivo per impostazione predefinita. Quando è attivato,
fornisce informazioni sulle system-call che erano in esecuzione quando SELinux
genera un messaggio <computeroutput>denied</computeroutput>. Questo
può essere d'aiuto quando fai il debugging della policy.
@@ -806,8 +901,8 @@
</question>
<answer>
<para>
- Questa opzione al momento non è supportata. In futuro, verrà fornita un utilitÃ
- per amministrare l'auditing.
+ Per farlo, eseguite <command>auditctl -e 0</command>. Nota che non
+ non avrà effetto sull'auditing dei dinieghi SELinux AVC.
</para>
</answer>
</qandaentry>
@@ -821,8 +916,7 @@
<para>
Come root, esegui il comando <command>/usr/sbin/sestatus
-v</command>. Per maggiori informazioni, fa riferimento alla
- pagina di manuale di
- <filename>sestatus(8)</filename>.
+ pagina di manuale di <filename>sestatus(8)</filename>.
</para>
</answer>
</qandaentry>
@@ -865,8 +959,7 @@
</para>
<para>
Se hai difficoltà nel far funzionare un'applicazione specifica
- come Apache, vedi <xref linkend="using-s-c-securitylevel"/>
- to work, see <xref linkend="using-s-c-securitylevel"/> per
+ come Apache, vedi <xref linkend="using-s-c-securitylevel"/> per
sapere come disabilitare l'enforcement solo per quell'applicazione.
</para>
</answer>
@@ -996,9 +1089,9 @@
Puoi creare il nuovo utente con il comando standard
<command>useradd</command>. Prima dovrai diventare root;
sotto la policy strict avrai bisogno di cambiare al ruolo
- <computeroutput>sysadm_r</computeroutput>. Questo cambio di contesto
- è stato incorporato nel comando <command>su</command> ed
- avviene automaticamente. Per la policy targeted, non avrai bisogno
+ <computeroutput>sysadm_r</computeroutput> usando
+ <computeroutput>newrole -r sysadm_r</computeroutput>
+ Per la policy targeted, non avrai bisogno
di cambiare ruolo, rimanendo in
<computeroutput>unconfined_t</computeroutput>:
</para>
@@ -1020,7 +1113,7 @@
</para>
</answer>
</qandaentry>
- <qandaentry>
+<!-- <qandaentry>
<question>
<para>
Tutte le altre documentazioni su &SEL; affermano che il
@@ -1031,8 +1124,8 @@
<answer>
<para>
Il team di sviluppo di &FC; ha preso una direzione leggermente differente
- rispetto alla pratica di &SEL; esistente. Le transizioni del contesto di sicurezza adesso
- sono integrate in <command>su</command> via
+ rispetto alla pratica di &SEL; esistente. Le transizioni del contesto di
+ sicurezza adesso sono integrate in <command>su</command> via
<computeroutput>pam_selinux</computeroutput>. Questo semplifica
enormemente l'uso del sistema.
</para>
@@ -1048,7 +1141,7 @@
&SEL;.
</para>
</answer>
- </qandaentry>
+ </qandaentry>-->
<qandaentry>
<question>
<para>
@@ -1059,7 +1152,8 @@
</question>
<answer>
<para>
- Per esempio, se volevi escludere l'audit di <command>dmesg</command>,
+ Per esempio, se volevi escludere l'audit di
+ <command>dmesg</command>,
potresti inserire questa riga nel tuo file
<filename>/etc/selinux/targeted/src/policy/dmesg.te</filename>
</para>
@@ -1099,12 +1193,14 @@
</para>
</answer>
</qandaentry>
+ <!-- Need to modify this to work with new policy sources, or find
+ a better method than modifying all source
<qandaentry>
<question>
<para>
Ho un particolare diniego di premesso solo quando &SEL; è in modalitÃ
enforcing, ma non vedo nessun messaggio di audit in
- <filename>/var/log/messages</filename>. Come posso identificare la
+ <filename>/var/log/audit/audit.log</filename>. Come posso identificare la
causa di questi dinieghi silenziosi?
</para>
</question>
@@ -1150,7 +1246,7 @@
<command>cd /etc/selinux/targeted/src/policy
make clean
make load</command>
-</screen>
+</screen> -->
<!-- commented out just in case it needs to be rewritten and included:
<para>
Another reason for getting silent denials is on an
@@ -1175,9 +1271,9 @@
audit(1083674459.837:0): security_compute_sid: invalid context root:sysadm_r:system_chkpwd_t for scontext=root:sysadm_r:newrole_t tcontext=system_u:object_r:chkpwd_exec_t tclass=process
--->
</answer>
</qandaentry>
+-->
<qandaentry>
<question>
<para>
@@ -1241,19 +1337,8 @@
cambiamenti nella policy aggiornata.
</para>
<para>
- Se hai installato i pacchetti sorgente delle policy, es.
- <filename>selinux-policy-strict</filename>, puoi eseguire questi
- comandi per rietichettare il file system.
- </para>
-<screen>
-<command>cd /etc/selinux/targeted/src/policy
-make
-make relabel
-reboot</command>
-</screen>
- <para>
- Se non stai usando i sorgenti delle policy, un altro approccio è usare il
- comando <command>fixfiles</command> o avvantaggiarsi del
+ Per rietichettare, usa il
+ comando <command>fixfiles</command> o avvantaggiati del
meccanismo <filename>/.autorelabel</filename>:
</para>
<screen>
@@ -1283,6 +1368,8 @@
</para>
</answer>
</qandaentry>
+ <!-- Source package doesn't exist any more
+ Is there something similar now?
<qandaentry>
<question>
<para>
@@ -1291,11 +1378,13 @@
</para>
</question>
<answer>
+ -->
<!--
thanks to "Gene C." <czar czarc net> for authoring the
original answer in
http://www.redhat.com/archives/fedora-test-list/2004-April/msg00755.html
-->
+ <!--
<para>
Un pacchetto policy come
<filename>selinux-policy-targeted</filename> è un requisito per
@@ -1316,8 +1405,7 @@
e
<filename>/etc/selinux/<replaceable>policyname</replaceable>/policy/policy.<replaceable>version</replaceable></filename>.
<replaceable>version</replaceable> è il numero di versione della
- policy.
- </para>
+ policy. </para>
<para>
La scelta di quali pacchetti installare è basata sul tipo di
installazione. Se intendi usare solo la configurazione di sicurezza predefinita
@@ -1328,12 +1416,13 @@
</para>
<para>
Installando o aggiornando i pacchetti della policy, la nuova policy
- verrà caricata non appena installati i nuovi files. In modo analogo, installando o aggiornando il
- pacchetto di sorgenti della policy ricreerà sia il file
- <filename>policy.<replaceable>version</replaceable></filename>
+ verrà caricata non appena installati i nuovi files. In modo analogo,
+ installando o aggiornando il pacchetto di sorgenti della policy ricreerà sia
+ il file <filename>policy.<replaceable>version</replaceable></filename>
che il file <filename>file_contexts</filename>, quindi
verranno ricaricati come policy attuale effettiva.
</para>
+ -->
<!-- not sure if currently still an issue, or how to rephrase
<caution>
@@ -1347,32 +1436,28 @@
</para>
</caution>
-->
+ <!--
</answer>
</qandaentry>
+ -->
<qandaentry>
<!--
http://www.redhat.com/archives/fedora-selinux-list/2004-May/msg00061.html
-->
<question>
<para>
- Perchè i files
+ Perchè le policy binarie (es.
<filename>/etc/selinux/<replaceable>policyname</replaceable>/policy/policy.<<replaceable>version</replaceable>></filename>
- e
- <filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy/policy.<<replaceable>version</replaceable>></filename>
- sono differenti (sizes, md5sums, dates)?
+ distribuite con Fedora e quelle compilate da me hanno differenti dimensioni
+ e md5sums?
</para>
</question>
<answer>
<para>
Quando installi un pacchetto policy, i files binari pre-compilati della policy
sono inseriti direttamente in <filename>/etc/selinux</filename>.
- Quando un pacchetto sorgente policy è installato o aggiornato, i files binari
- della policy vengono compilati in
- <filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy</filename>,
- quindi spostati in
- <filename>/etc/selinux/<replaceable>policyname</replaceable>/policy/</filename>.
I differenti ambienti di compilazione creeranno files finali che hanno
- differenti dimensioni, md5sums, e date.
+ differenti dimensioni, md5sums.
</para>
</answer>
</qandaentry>
@@ -1405,37 +1490,94 @@
</question>
<answer>
<para>
- Il tuo aiuto è apprezzato infinitamente. Puoi cominciare entrando a far parte della
- &SEL; mailing list, <ulink
- url="mailto:fedora-selinux-list at redhat.com">fedora-selinux-list at redhat.com</ulink>;
- puoi sottoscriverti e leggere gli archivi su <ulink
- url="http://www.redhat.com/mailman/listinfo/fedora-selinux-list">http://www.redhat.com/mailman/listinfo/fedora-selinux-list</ulink>.
- Le FAQ non ufficiali hanno qualche informazione generica su come scrivere
- le policy (<ulink
- url="http://sourceforge.net/docman/display_doc.php?docid=14882&group_id=21266#BSP.1">http://sourceforge.net/docman/display_doc.php?docid=14882&group_id=21266#BSP.1</ulink>).
- Un'altra nuova risorsa è il Writing SE Linux policy HOWTO (<ulink
- url="https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266">https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266</ulink>).
- </para>
- <para>
- Il meglio su cui puoi scommettere è dare un occhiata ai files di policy in <filename>/etc/selinux/<replaceable>policyname</replaceable>/src/policy/</filename>
- e provare a sperimentare. Osserva i messaggi <computeroutput>avc
- denied</computeroutput> in <filename>/var/log/messages</filename> per avere degli indizi.
- </para>
- <para>
- Uno strumento utile per uno scrittore di policy è
- <command>/usr/bin/audit2allow</command>, che traduce
- i messaggi <computeroutput>avc</computeroutput> provenienti da
- <filename>/var/log/messages</filename> in regole che possono essere usate
- da &SEL;. Queste regole dovranno ovviamente essere rifinite.
- </para>
- <para>
- Il comando <command>audit2allow</command> può ricevere l'input con
- tre metodi. Il metodo predefinito è dallo standard input
- (<firstterm>STDIN</firstterm>). Usando l'opzione <option>-i</option>
- legge l'input da <filename>/var/log/messages</filename>,
- e con l'opzione <option>-d</option> legge l'input dall'output
- di <command>dmesg</command>.
+ Il tuo aiuto è veramente apprezzato.
+ <itemizedlist>
+ <listitem>
+ <para>
+ Puoi cominciare partecipando alla
+ &FED; &SEL; mailing list, <ulink
+ url="mailto:fedora-selinux-list at redhat.com">fedora-selinux-list at redhat.com</ulink>;
+ puoi sottoscriverti e leggere gli archivi su <ulink
+ url="http://www.redhat.com/mailman/listinfo/fedora-selinux-list">http://www.redhat.com/mailman/listinfo/fedora-selinux-list</ulink>.
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ Le UnOfficial FAQ hanno alcune informazioni generiche su come scrivere
+ le policy (<ulink
+ url="http://sourceforge.net/docman/display_doc.php?docid=14882&group_id=21266#BSP.1">http://sourceforge.net/docman/display_doc.php?docid=14882&group_id=21266#BSP.1</ulink>).
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ Un'altra nuova risorsa è il Writing SE Linux policy HOWTO (<ulink
+ url="https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266">https://sourceforge.net/docman/display_doc.php?docid=21959&group_id=21266</ulink>).
+ </para>
+ </listitem>
+ </itemizedlist>
+ Inoltre, da &FC; &LOCALVER; la policy è basata sulla <xref linkend="faq-entry-whatis-refpolicy"/>,
+ potresti dare un occhiata alla documentazione sulla sua pagina di progetto.
+ </para>
+ <para>
+ Il meglio su cui puoi puntare è osservare i files della policy in
+ <filename>/usr/share/doc/selinux-policy-<replaceable>>version<</replaceable></filename>
+ che ti mostrano un esempio di policy.
</para>
+ <para>
+ Se vuoi scrivere un nuovo dominio di policy, dovrai installare il
+ pacchetto selinux-policy-devel. Questo porrà i files d'interfaccia
+ della reference policy nella directory
+ <filename>/usr/share/selinux/refpolicy</filename>.
+ </para>
+ <para>
+ C'è anche uno strumento li che potrà aiutarti a cominciare. Usa lo
+ strumento <command>policygentool</command> per generare i tuoi files
+ <filename>te</filename>, <filename>fc</filename>
+ ed <filename>if</filename>.
+ Questo strumento accetta due parametri: il nome del modulo della policy
+ (mydaemon) ed il percorso completo dell'eseguibile
+ (<filename>/usr/sbin/mydaemon</filename>). Ciò creerà tre
+ files <filename>mydaemon.te</filename>,
+ <filename>mydaemon.fc</filename> e
+ <filename>mydaemon.if</filename>.
+ Dopo aver generato i files diella policy,
+ usa il Makefile fornito,
+ <filename>/usr/share/selinux/refpolicy/Makefile</filename>,
+ e compila un pacchetto policy (<filename>mydaemon.pp</filename>). Ora
+ puoi caricare il modulo della
+ policy, usando <command>semodule</command>, e rietichettando
+ l'eseguibile usando
+ <filename>restorecon</filename>. Siccome hai una policy
+ estremamente limitata per il tuo
+ eseguibile, SELinux ti impedirà di farci molto. Così sarà necessario
+ attivare la modalità permissive, quindi usare l'init script per avviare
+ il daemon. Ora potrai cominciare a collezzionare i messaggi avc. Potrai usare
+ <command>audit2allow</command> per tradurre i messaggi avc in
+ regole allow e cominciare ad
+ aggiornare il tuo file <filename>mydaemon.te</filename>. Dovrai
+ cercare quindi le macro
+ di interfaccia nella directory <filename>/etc/selinux/refpolicy/include</filename>
+ ed usarle direttamente, quando possibile, al posto di
+ allow rules.
+ Se vuoi ulteriori esempi di polcy, puoi sempre installare il
+ selinux-policy src rpm, che contiene tutte i
+ files policy te per la policy reference.
+ </para>
+<screen>
+<command># /usr/share/selinux/refpolicy/policygentool mydaemon /usr/sbin/mydaemon
+# make -f /usr/share/selinux/refpolicy/Makefile
+m4 /usr/share/selinux/refpolicy/include/all_perms.spt /usr/share/selinux/refpolicy/include/loadable_module.spt /usr/share/selinux/refpolicy/include/misc_macros.spt
+...
+/usr/share/selinux/refpolicy/include/obj_perm_sets.spt mydaemon.fc > tmp/mydaemon.mod.fc
+Creating targeted mydaemon.pp policy package
+/usr/bin/semodule_package -o mydaemon.pp -m tmp/mydaemon.mod -f tmp/mydaemon.mod.fc
+rm tmp/mydaemon.mod.fc tmp/mydaemon.mod
+# semodule -i mydaemon.pp
+# restorecon -v /usr/sbin/mydaemon
+restorecon reset /usr/sbin/mydaemon context user_u:object_r:sbin_t->system_u:object_r:mydaemon_exec_t
+# setenforce 1
+# service mydaemon restart</command>
+</screen>
</answer>
</qandaentry>
<qandaentry>
@@ -1546,6 +1688,12 @@
ext2/ext3, XFS ha recentemente aggiunto il supporto per le necessarie
etichette.
</para>
+ <para>
+ Nota che il supporto SELinux XFS non funziona nella serie di kernel
+ 2.6.14 e 2.6.15, ma è stato ripristinato (un work-around)
+ nella 2.6.16. Perciò, assicurati che il tuo kernel includa questo fix se
+ scegli di usare XFS.
+ </para>
</answer>
</qandaentry>
<qandaentry>
@@ -1630,10 +1778,11 @@
url="mailto:fedora-selinux-list at redhat.com">fedora-selinux-list at redhat.com</ulink>)
per discuterne.
</para>
+ <!-- Add policy modules section -->
+ <!-- Add managed policy section -->
</answer>
</qandaentry>
</qandadiv>
</qandaset>
</section>
</article>
-
- Previous message (by thread): release-notes ArchSpecificPPC-en.xml, 1.2, 1.3 ArchSpecificPPC-it.xml, 1.3, 1.4 ArchSpecificPPC-ru.xml, 1.2, 1.3 ArchSpecificPPC-zh_CN.xml, 1.3, 1.4
- Next message (by thread): docs-common Makefile,1.5,1.6
- Messages sorted by:
[ date ]
[ thread ]
[ subject ]
[ author ]
More information about the Fedora-docs-commits
mailing list