Fedora 8 Руководство пользователя
Шрифт:
Рис. 7.18. Конфигуратор system-config-selinux
Также с помощью этого конфигуратора можно определить привилегии пользователей (User Privs) и администратора (Admin) (рис. 7.19).
Рис. 7.19. Привилегии пользователей
Каталог /selinux -
7.7.6. Режим предупреждений
Как уже было отмечено, в режиме предупреждений в файл /var/log/messages выводятся предупреждения о запрещении доступа, но сам доступ к объекту не запрещается. Вывести все SELinux сделанные предупреждения можно с помощью команды:
# cat /var/log/messages | audit
Рассмотрим пример типичного сообщения о запрещении доступа к объекту (это не реально сделанное предупреждение, а просто пример предупреждения):
Oct 21 16:l0:l5 dhsilabs kernel: audit(2149208252_610:29):avc: denied {read} for pid=1554 comm="bash" name="/etc/shadow" dev=hda5 ino=13671 sсontext =root:system_r:hotplug_t tcontext-root:object_r:user_home_t tclass=file
Оно означает, что 21 октября в 16:10 на машине dhsilabs процесс bash (comm) с PID (идентификатор процесса) 1554 (pid) попытался открыть для чтения (read) файл /etc/shadow (name) с номером инода 13671 (ino), yстройство, на котором находился файл, называется hda5, контекст безопасности задается как scontext. Операция чтения была запрещена (denied).
7.8. Псевдофайловая система /proc
7.8.1. Кратко о /proc
Псевдофайловая система /proc является специальным механизмом, который позволяет получать информацию о системе от самого ядра, а также передавать информацию ядру, модулям ядра и его процессам.
Файловая система /proc находится в оперативной памяти компьютера, однако вы можете обращаться к файлам и подкаталогам каталога /proc так же, как и к остальным файлам на жестком диске. Единственное, что напоминает о ее "виртуальности" (файловая система /proc является виртуальной - Virtual File System) - это размер файлов. Посмотрите на размер любого файла из каталога /proc: он равен 0. Но если вы его откроете, то увидите, что файл содержит-таки информацию. Это объясняется тем, чти содержимое файла формируется "на лету" - сразу после получения запроса на открытие файла,
В каталоге /proc есть только два типа файлов. Первый тип - это информационные файлы, позволяющие получить информацию о системе и о процессах. Данные файлы доступны только для чтения.
Второй
Как и в случае с обычными файлами, просмотреть информационный файл можно с помощью команды cat:
cat /proc/путь/файл [| less]
Изменить параметр системы можно путем записи нового значения параметра в соответствующий proc-файл:
echo "значение" › /proc/путь/файл
7.8.2. Некоторые информационные файлы
Рассмотрим некоторые информационные файлы, доступные в псевдофайловой системе /proc:
• /proс/version - содержит версию ядра;
• /proc/cmdline - позволяет просмотреть список параметров, которые были переданы ядру при загрузке;
• /proс/apuinfo - Содержит информацию о процессоре;
• /proc/meminfo - предоставляет информацию об использовании оперативной памяти;
• /proc/devices - содержит список устройств;
• /proc/filesystems - содержит список файловых систем, которые поддерживаются вашей системой;
• /proc/mounts - содержит список "подмонтированных" в данный момент файловых систем;
• /proc/modules - содержит список загруженных модулей;
• /proc/swaps - список используемых разделов и файлов подкачки.
Например, вы можете получить информацию о процессоре с помощью следующей команды:
cat /proc/cpuinfо
Система выдаст в ответ следующую информацию:
processor: 0
vendor_id: GenuineIntel
cpu family: 6
model: 15
model name: Genuine Intel(R) CPU 2160 @ 1.80GHz
stepping: 2
cpu MHz: 1798.238
cache size: 1024 KB
physical id: 0
Siblings: 2
core id: 0
cpu cores: 2
fpu: yes
fpu_exception: yes
cpuid level: 10
wp: yes
flags: fpu vme de рsе tsc msr рае
mce cx8 apic sep mtrr pge mca cmov pat pse36 сlflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good pni monitor ds_cpl est tm2 ssse3 cx16 xtpr lahf_lm
bogomips: 3599.18
сlflush size: 64
cache_alignment: 64
address sizes: 36 bits physical, 46 bits virtual
power management:
processor: 1
vendor_id: GenuineIntel
cpu family: 6
model: 15
model name: Genuine Intel(R) CPU 2160 @ 1.80GHz
stepping: 2
cpu МHz: 1798.238
cache size: 1024 KB
physical id: 0
siblings: 2
core id: 1
cpu cores: 2
fpu: yes
fpu_exception: yes
cpuid level: 10
wp: yes
flags: fpu vme de pse tsc msr pae mce сx8 apic sep mtrr pge
mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good pni monitor ds_cpl est tm2 ssse3 cx1б xtpr lahf_lm