.TH SANDBOX "8" "Май 2010" "sandbox" "Команды пользователÑ" .SH ИМЯ sandbox \- выполнить приложение cmd в изолированной Ñреде SELinux .SH ОБЗОР.B sandbox [\-C] [\-s] [ \-d DPI ] [\-l level ] [[\-M | \-X] \-H homedir \-T tempdir ] [\-I includefile ] [ \-W windowmanager ] [ \-w windowsize ] [[\-i file ]...] [ \-t type ] cmd .br .B sandbox [\-C] [\-s] [ \-d DPI ] [\-l level ] [[\-M | \-X] \-H homedir \-T tempdir ] [\-I includefile ] [ \-W windowmanager ] [ \-w windowsize ] [[\-i file ]...] [ \-t type ] \-S .br .SH ОПИСÐÐИЕ .PP Выполнить приложение .I cmd в Ñтрого ограниченном домене SELinux. По умолчанию в домене изолированной Ñреды Ð¿Ñ€Ð¸Ð»Ð¾Ð¶ÐµÐ½Ð¸Ñ Ð¼Ð¾Ð³ÑƒÑ‚ только читать и запиÑывать stdin, stdout и любые другие передаваемые деÑкрипторы файлов. Открывать другие файлы нельзÑ. Параметр \-M позволÑет Ñмонтировать альтернативные домашний каталог и временный каталог, которые будут иÑпользоватьÑÑ Ð¸Ð·Ð¾Ð»Ð¸Ñ€Ð¾Ð²Ð°Ð½Ð½Ð¾Ð¹ Ñредой. ЕÑли уÑтановлен пакет .I policycoreutils-sandbox, можно иÑпользовать параметр \-X и параметр \-M. .B sandbox \-X позволÑет запуÑкать Ð¿Ñ€Ð¸Ð»Ð¾Ð¶ÐµÐ½Ð¸Ñ X в изолированной Ñреде. Ðти Ð¿Ñ€Ð¸Ð»Ð¾Ð¶ÐµÐ½Ð¸Ñ Ð·Ð°Ð¿ÑƒÑкаютÑÑ Ð½Ð° Ñвоём ÑобÑтвенном X-Ñервере и Ñоздают временные домашний каталог и каталог /tmp. Политика SELinux по умолчанию не разрешает иÑпользовать какие-либо ÑредÑтва Ð´Ð»Ñ ÑƒÐ¿Ñ€Ð°Ð²Ð»ÐµÐ½Ð¸Ñ Ð¿Ñ€Ð¸Ð²Ð¸Ð»ÐµÐ³Ð¸Ñми или оÑущеÑтвлÑÑ‚ÑŒ доÑтуп к Ñети. Она также предотвращает доÑтуп к другим процеÑÑам и файлам пользователей. Указанные в команде файлы, которые находÑÑ‚ÑÑ Ð² домашнем каталоге или каталоге /tmp, будут Ñкопированы в каталоги изолированной Ñреды. ЕÑли каталоги указаны Ñ Ð¿Ð°Ñ€Ð°Ð¼ÐµÑ‚Ñ€Ð¾Ð¼ \-H или \-T, их контекÑÑ‚ будет изменён chcon(1) (еÑли только Ñ Ð¿Ð¾Ð¼Ð¾Ñ‰ÑŒÑŽ параметра \-l не указан уровень). ЕÑли уровень безопаÑноÑти MLS/MCS указан, пользователь должен уÑтановить правильные метки. .PP .TP \fB\-h\ \fB\-\-help\fR Показать ÑÐ²ÐµÐ´ÐµÐ½Ð¸Ñ Ð¾Ð± иÑпользовании .TP \fB\-H\ \fB\-\-homedir\fR Указать альтернативный домашний каталог Ð´Ð»Ñ Ð¼Ð¾Ð½Ñ‚Ð¸Ñ€Ð¾Ð²Ð°Ð½Ð¸Ñ Ð²Ð¼ÐµÑто вашего домашнего каталога. По умолчанию иÑпользуетÑÑ Ð²Ñ€ÐµÐ¼ÐµÐ½Ð½Ñ‹Ð¹ каталог. ТребуетÑÑ \-X или \-M. .TP \fB\-i\fR \fB\-\-include\fR Копировать Ñтот файл в ÑоответÑтвующий временный каталог изолированной Ñреды. Команду можно повторÑÑ‚ÑŒ. .TP \fB\-I\fR \fB\-\-includefile\fR Копировать вÑе файлы, перечиÑленные во входном файле (inputfile), в ÑоответÑтвующие временные каталоги изолированной Ñреды. .TP \fB\-l\fR \fB\-\-level\fR Указать уровень безопаÑноÑти MLS/MCS, Ñ ÐºÐ¾Ñ‚Ð¾Ñ€Ñ‹Ð¼ Ñледует запуÑкать изолированную Ñреду. По умолчанию иÑпользуетÑÑ Ñлучайное значение. .TP \fB\-M\fR \fB\-\-mount\fR Создать изолированную Ñреду Ñ Ð²Ñ€ÐµÐ¼ÐµÐ½Ð½Ñ‹Ð¼Ð¸ файлами Ð´Ð»Ñ $HOME и /tmp. .TP \fB\-s\fR \fB\-\-shred\fR Уничтожить временные файлы, Ñозданные в $HOME в /tmp, перед удалением. .TP \fB\-t\fR \fB\-\-type\fR ИÑпользовать альтернативный тип изолированной Ñреды. По умолчанию: sandbox_t или sandbox_x_t Ð´Ð»Ñ \-X. \fBПримеры:\fR .br sandbox_t \- без X, без доÑтупа к Ñети, без открытиÑ, чтение/запиÑÑŒ передаютÑÑ Ð² деÑкрипторах файлов. .br sandbox_min_t \- без доÑтупа к Ñети .br sandbox_x_t \- порты Ð´Ð»Ñ X-приложений, которые Ñледует запуÑтить локально .br sandbox_web_t \- порты, необходимые Ð´Ð»Ñ Ñ€Ð°Ð±Ð¾Ñ‚Ñ‹ в Интернете .br sandbox_net_t \- Ñетевые порты (Ð´Ð»Ñ Ñерверного ПО) .br sandbox_net_client_t \- вÑе Ñетевые порты .TP \fB\-T\fR \fB\-\-tmpdir\fR ИÑпользовать альтернативный временный каталог Ð´Ð»Ñ Ð¼Ð¾Ð½Ñ‚Ð¸Ñ€Ð¾Ð²Ð°Ð½Ð¸Ñ Ð² /tmp. По умолчанию: tmpfs. ТребуетÑÑ \-X или \-M. .TP \fB\-S\fR \fB\-\-session\fR ЗапуÑтить полный ÑÐµÐ°Ð½Ñ Ñ€Ð°Ð±Ð¾Ñ‡ÐµÐ³Ð¾ Ñтола. ТребуетÑÑ ÑƒÑ€Ð¾Ð²ÐµÐ½ÑŒ, домашний каталог и временный каталог. .TP \fB\-w\fR \fB\-\-windowsize\fR Указать размер окна при Ñоздании изолированной Ñреды на оÑнове X. По умолчанию: 1000x700. .TP \fB\-W\fR \fB\-\-windowmanager\fR Выбрать альтернативный диÑпетчер окон Ð´Ð»Ñ Ð·Ð°Ð¿ÑƒÑка в .B sandbox \-X. По умолчанию: /usr/bin/openbox. .TP \fB\-X\fR Создать изолированную Ñреду на оÑнове X Ð´Ð»Ñ Ð¿Ñ€Ð¸Ð»Ð¾Ð¶ÐµÐ½Ð¸Ð¹ графичеÑкого интерфейÑа пользователÑ, временные файлы Ð´Ð»Ñ $HOME и /tmp, дополнительный X-Ñервер. По умолчанию: sandbox_x_t .TP \fB\-d\fR \fB\-\-dpi\fR Указать значение Ñ€Ð°Ð·Ñ€ÐµÑˆÐµÐ½Ð¸Ñ (DPI) Ð´Ð»Ñ X-Ñервера изолированной Ñреды. По умолчанию иÑпользуетÑÑ Ð·Ð½Ð°Ñ‡ÐµÐ½Ð¸Ðµ Ñ€Ð°Ð·Ñ€ÐµÑˆÐµÐ½Ð¸Ñ Ñ‚ÐµÐºÑƒÑ‰ÐµÐ³Ð¾ X-Ñервера. .TP \fB\-C\fR \fB\-\-capabilities\fR ИÑпользовать ÑредÑтва Ð´Ð»Ñ ÑƒÐ¿Ñ€Ð°Ð²Ð»ÐµÐ½Ð¸Ñ Ð¿Ñ€Ð¸Ð²Ð¸Ð»ÐµÐ³Ð¸Ñми внутри изолированной Ñреды. По умолчанию приложениÑм, которые выполнÑÑŽÑ‚ÑÑ Ð² изолированной Ñреде, запрещено иÑпользовать ÑредÑтва Ð´Ð»Ñ ÑƒÐ¿Ñ€Ð°Ð²Ð»ÐµÐ½Ð¸Ñ Ð¿Ñ€Ð¸Ð²Ð¸Ð»ÐµÐ³Ð¸Ñми (setuid apps), но Ñ Ñ„Ð»Ð°Ð³Ð¾Ð¼ \-C можно иÑпользовать программы, которым необходимы ÑредÑтва Ð´Ð»Ñ ÑƒÐ¿Ñ€Ð°Ð²Ð»ÐµÐ½Ð¸Ñ Ð¿Ñ€Ð¸Ð²Ð¸Ð»ÐµÐ³Ð¸Ñми. .PP .SH "СМОТРИТЕ ТÐКЖЕ" .TP runcon(1), seunshare(8), selinux(8) .PP .SH ÐВТОРЫ Ðта Ñтраница руководÑтва была напиÑана .I Dan Walsh <dwalsh@redhat.com> и .I Thomas Liu <tliu@fedoraproject.org>. Перевод на руÑÑкий Ñзык выполнила .I ГераÑименко ОлеÑÑ <gammaray@basealt.ru>.