Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verzeObě strany příští revize |
navody:fc6bezpecnost [2007/02/24 17:59] – macky | navody:fc6bezpecnost [2007/03/03 20:41] – macky |
---|
==== SELinux ==== | ==== SELinux ==== |
| |
Tato kapitola vznikla na základě následujících článků: | Následující kapitolu nelze v žádném případě považovat za vyčerpávající pojednání o problematice //SELinux//u (na toto téma vznikla celá řada knih). Cílem této kapitoly je seznámit se základní filozofií a elementárním nastavením //SELinux//u. Kapitola vznikla na základě následujících článků: |
* [[http://fedoraproject.org/wiki/SELinux|Wikipedia - SELinux]] | * [[http://fedoraproject.org/wiki/SELinux|Wikipedia - SELinux]] |
* [[http://www.samag.com/documents/s=7835/sam0303a/0303a.htm|SELinux od K.Thompsona]] | * [[http://www.samag.com/documents/s=7835/sam0303a/0303a.htm|SELinux od K.Thompsona]] |
=== Úvod do teorie === | === Úvod do teorie === |
| |
//SELinux// (**S**ecurity **E**nhanced **Linux**) zvyšuje bezpečnost Vašeho systému //Fedora Core// tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou tyto aplikace provádět. Bezpečnostní přínos //SELinux//u spočívá v tom, že implementuje mechanismus kontroly přístupů.\\ | //SELinux// (**S**ecurity **E**nhanced **Linux**) zvyšuje bezpečnost Vašeho systému //Fedora Core// tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou tyto aplikace provádět. Bezpečnostní přínos //SELinux//u tak spočívá v tom, že implementuje mechanismus kontroly přístupů.\\ |
| |
//SELinux// byl vyvinut agenturou //NSA// (U.S. **N**ational **S**ecurity **A**gency) ve spolupráci s firmami jako např. //NAI Labs//, //Secure Computing Corp.// a //MITRE Corp.// Pro potřeby komunity byl uvolněn 22. prosince 2000. //SELinux// má formu jádrového modulu //LSM// - (**L**inux **S**ecurity **M**odule). Od verze 2.4 je podporován formou patche, od verze 2.6 je pak přímo součástí jádra. //SELinux// je zahrnut také do distribuce //Fedora Core// a to od její druhé verze.\\ | //SELinux// byl vyvinut agenturou //NSA// (U.S. **N**ational **S**ecurity **A**gency) ve spolupráci s firmami jako např. //NAI Labs//, //Secure Computing Corp.// a //MITRE Corp.// Pro potřeby komunity byl uvolněn 22. prosince 2000. //SELinux// má formu jádrového modulu //LSM// - (**L**inux **S**ecurity **M**odule). Od verze 2.4 je podporován formou patche, od verze 2.6 je pak přímo součástí jádra. //SELinux// je zahrnut také do distribuce //Fedora Core// a to od její druhé verze.\\ |
| |
V praxi existují různé tzv. modely kontroly přístupů. V unixových systémech se tradičně používá tzv. //DAC// (**D**iscretionary **A**ccess **C**ontrol) mechanismus. Hlavní myšlenka tohoto přístupu spočívá v tom, že každý uživatel má plnou kontrolu nad všemi svými procesy((Zjednodušeně lze pojem "proces" chápat jako spuštěnou aplikaci. Jestliže tedy např. spustíte textový editor, inicializovali jste tímto nový proces.)) a soubory((Adresář je ve své podstatě také soubor. Jediným rozdílem mezi klasickým souborem a adresářem je ten, že adresář má přesně danou strukturu.)). Některá práva k těmto procesům a souborům pak může poskytnout také jiným uživatelům. Slabým místem této filozofie je tzv. superuživatel((Velice často se namísto pojmu "superuživatel" můžete setkat s pojmem "root". Tyto pojmy jsou ekvivalentní.)). Jedná se o uživatele, který má administrátorská práva k celému systému. To v praxi znamená, že má absolutní práva ke všem procesům a soborů v systému. Jestliže se tedy někomu podaří "ovládnout" proces, který patří superuživateli, stává se neomezeným vládcem systému.\\ | V praxi existují různé tzv. modely kontroly přístupů. V unixových systémech se tradičně používá tzv. //DAC// (**D**iscretionary **A**ccess **C**ontrol) mechanismus. Hlavní myšlenka tohoto přístupu spočívá v tom, že každý uživatel má plnou kontrolu nad všemi svými procesy((Zjednodušeně lze pojem "proces" chápat jako spuštěnou aplikaci. Jestliže tedy např. spustíte textový editor, inicializovali jste tímto nový proces.)) a soubory((Adresář je ve své podstatě také soubor. Jediným rozdílem mezi klasickým souborem a adresářem je ten, že adresář má přesně danou strukturu.)). Některá práva k těmto procesům a souborům pak může poskytnout také jiným uživatelům. Slabým místem této filozofie je tzv. superuživatel((Velice často se namísto pojmu "superuživatel" můžete setkat s pojmem "root". Tyto pojmy jsou ekvivalentní.)). Jedná se o uživatele, který má administrátorská práva k celému systému. To v praxi znamená, že má absolutní práva ke všem procesům a soborů v systému. Jestliže se tedy někomu podaří "ovládnout" proces, který patří superuživateli, stává se neomezeným vládcem systému.\\ |
Druhou možností kontroly přístupů je tzv. //MAC// (**M**andatory **A**ccess **C**ontrol). Tento mechanismus je implementován právě v rámci //SELinux//. V tomto případě jsou přístupová práva definovaná administrátorem a nemohou být změněna jiným uživatelem. To, k jakým souborům mohou jednotlivé procesy přistupovat, je dáno sadou striktních pravidel. Obecné pravidlo zní, že co není povoleno je zakázáno. Použití koncepce //MAC// v unixových systémech výše popsaným způsobem by bylo však příliš složité, protože by to vyžadovalo definovaní práv pro každého uživatele a každý proces, který tento uživatel může spustit. | Druhou možností kontroly přístupů je tzv. //MAC// (**M**andatory **A**ccess **C**ontrol). Tento mechanismus je implementován právě v rámci //SELinux//. V tomto případě jsou přístupová práva definovaná administrátorem a nemohou být změněna jiným uživatelem. To, k jakým souborům mohou jednotlivé procesy přistupovat, je dáno sadou striktních pravidel. Obecné pravidlo zní, že co není povoleno, je zakázáno. Použití koncepce //MAC// v unixových systémech výše popsaným způsobem by bylo však příliš složité, protože by vyžadovalo definování práv pro každého uživatele a každý proces, který tento uživatel může spustit. |
Rozšířením myšlenky //MAC// je tak //RBAC// (**R**ole-**B**ased **A**ccess **C**ontrol). Zde administrátor vytvoří tzv. role, pro které následně definuje sadu pravidel. Jednotlivým uživatelům pak přiřadí konkrétní role. | Rozšířením myšlenky //MAC// je tak //RBAC// (**R**ole-**B**ased **A**ccess **C**ontrol). Zde administrátor vytvoří tzv. role, pro které následně definuje sadu pravidel. Jednotlivým uživatelům pak přiřadí konkrétní role. |
| |
== Implementace SELinuxu == | == Implementace SELinuxu == |
| |
//SELinux// implementuje //MAC// a //RBAC// do jádra ve formě modulu //LSM//. Administrátor může prostřednictvím tzv. bezpečnostního serveru nastavit, jací uživatelé a procesy (v terminologii //SELinux//u se hovoří o tzv. subjektech) mohou přistupovat k jakým souborům popř. zařízením (tzv. objektům). V praxi je nejprve zkoumáno, zda-li má uživatel práva k požadovanému souboru dle //DAC// (tj. jestli má právo čtení, zápisu apod.). Je-li tato podmínka splněna, následuje kontrola splnění podmínek definovaných v rámci //MAC// (tj. zda-li má příslušný proces oprávnění k danému souboru). V //SELinux//u je výše popsaný proces nazýván jako //TE// (**T**ype **E**nforcement).\\ | //SELinux// implementuje //MAC// a //RBAC// do jádra ve formě modulu //LSM//. Administrátor může prostřednictvím tzv. bezpečnostního serveru nastavit, jací uživatelé a procesy (tzv. subjekty) mohou přistupovat k jakým souborům popř. zařízením (tzv. objektům). V praxi je nejprve zkoumáno, zda-li má uživatel práva k požadovanému souboru dle //DAC// (tj. jestli má právo čtení, zápisu apod.). Je-li tato podmínka splněna, následuje kontrola splnění podmínek definovaných v rámci //MAC// (tj. zda-li má příslušný proces oprávnění k danému souboru).\\ |
V praxi to znamená, že kdyby se útočník "zmocnil" procesu vlastněného superuživatelem, mohl by manipulovat pouze se soubory a zařízením, ke kterým má tento proces oprávnění. Potenciální škoda, kterou by takto mohl napáchat je nesrovnatelně menší než v případě, že by byl implementován pouze //DAC//.\\ | V praxi to znamená, že kdyby se útočník "zmocnil" procesu vlastněného superuživatelem, mohl by manipulovat pouze se soubory a zařízením, ke kterým má tento proces oprávnění. Potenciální škoda, kterou by takto mohl napáchat, je nesrovnatelně menší než v případě, že by byl implementován pouze //DAC//.\\ |
//SELinux// také umožňuje implementaci tzv. //MLS// (**M**ulti-**L**evel **S**ecurity model). Filozofií tohoto modelu je přiřazení jednotlivých objektů (tj. souborů) do tzv. bezpečnostních vrstev. Tyto vrstvy jsou hierarchicky uspořádány a platí obecné pravidlo, že informace může být předána pouze z vyšší bezpečnostní vrstvy do nižší. | //SELinux// také umožňuje implementaci tzv. //MLS// (**M**ulti-**L**evel **S**ecurity model). Filozofií tohoto modelu je přiřazení jednotlivých objektů (tj. souborů) do tzv. bezpečnostních vrstev. Tyto vrstvy jsou hierarchicky uspořádány a platí obecné pravidlo, že informace může být předána pouze z vyšší bezpečnostní vrstvy do nižší. |
| |
* Přečtěte si kapitolu [[navody:fc6Obsah|Obecné poznámky]]. | * Přečtěte si kapitolu [[navody:fc6Obsah|Obecné poznámky]]. |
| |
{{ selinux.png }} | {{ navody: selinux.png | SELinux }} |
| |
Bezpečnostní omezení daná //SELinux//em občas mohou způsobovat, že nelze do systému přidávat např. pluginy nebo ovladače, které nepocházejí se standardních repozitářů pro //Fedora Core//. | Bezpečnostní omezení daná //SELinux//em občas mohou způsobovat, že nelze do systému přidávat např. pluginy nebo ovladače, které nepocházejí ze standardních repozitářů pro //Fedora Core//. Řešením tohoto problému pak může být vypnutí //SELinux//u. |
| |
//SELinux// má tři základní módy - ''Vynucující'' (Enforcing), ''Tolerantní'' (Permissive), ''Zakázán'' (Disabled). V rámci módu ''Vynucující'' je bezpečnostní politika //SELinuxu// aktivně vynucována. To znamená, že procesy mohou přistupovat pouze k souborů, které jsou jim v rámci pravidel přiřazeny. Mód ''Tolerantní'' znamená, že //SELinux// posílá varovné zprávy do souboru ''/var/log/messages'', avšak dodržování bezpečnostních pravidel nevyžaduje. V režimu ''Zakázán'' nejsou pravidla //SELinux//u aplikována vůbec.\\ | //SELinux// má tři základní módy - ''Vynucující'' (Enforcing), ''Tolerantní'' (Permissive), ''Zakázán'' (Disabled). V rámci módu ''Vynucující'' je bezpečnostní politika //SELinuxu// aktivně vynucována. To znamená, že procesy mohou přistupovat pouze k souborů, které jsou jim v rámci politiky přiřazeny. Mód ''Tolerantní'' znamená, že //SELinux// posílá varovné zprávy do souboru ''/var/log/messages'', avšak dodržování bezpečnostních politik nevyžaduje. V režimu ''Zakázán'' nejsou politiky //SELinux//u aplikována vůbec.\\ |
| |
Všechny tři módy se dají nastavit prostřednictvím nabídky //Aplikace -> Systém -> Správa -> Úroveň zabezpečení a firewall//. V okně //Nastavení úrovně zabezpečení//, zvolte záložku //SELinux//. Jednotlivé módy je pak možné zvolit v roletkové nabídce položky //Nastavení SELinux//. | Všechny tři módy se dají nastavit prostřednictvím nabídky //Aplikace -> Systém -> Správa -> Úroveň zabezpečení a firewall//. V okně //Nastavení úrovně zabezpečení//, zvolte záložku //SELinux//. Jednotlivé módy je pak možné zvolit v roletkové nabídce položky //Nastavení SELinux//. |
| |
Jednotlivé módy //SELinux//u je možné nastavit také přímo v souboru ''/etc/selinux/config''. | Módy //SELinux//u je možné nastavit také přímo v souboru ''/etc/selinux/config''. |
| |
# This file controls the state of SELinux on the system. | # This file controls the state of SELinux on the system. |
=== Bezpečnostní kontext === | === Bezpečnostní kontext === |
| |
Bezpečnostní kontext lze charakterizovat jako bezpečnostní sadu pravidel, která se váží ke konkrétnímu procesu nebo souboru. V případě souborů se někdy můžete setkat s ekvivalentním pojmem //file_context// a v případě procesu s pojmem //domain//. Informace o bezpečnostním kontextu souborů jsou uloženy jako součást systému souborů. | Bezpečnostní kontext lze charakterizovat jako bezpečnostní sadu pravidel, která se váží ke konkrétnímu uživateli, procesu nebo souboru. V případě souborů se někdy můžete setkat s ekvivalentním pojmem //file_context// a v případě procesu s pak často používá pojmem //domain//. Informace o bezpečnostním kontextu souborů jsou uloženy jako součást systému souborů. |
| |
== Struktura bezpečnostního kontextu == | == Struktura bezpečnostního kontextu == |
ps -e --context | ps -e --context |
| |
popř. | resp. |
| |
ps -auxZ | ps -auxZ |
| |
získat následující výstup pro aktuálně spuštěné procesy | získat pro aktuálně spuštěné procesy podobný výpis |
| |
PID CONTEXT COMMAND | PID CONTEXT COMMAND |
... | ... |
| |
Pro soubory lze podobný výpis získat pomocí příkazu | Pro soubory lze adekvátní výpis získat pomocí |
| |
ls -e --context | ls -e --context |
-rw-rw-rw- macky macky user_u:object_r:user_home_t skript~ | -rw-rw-rw- macky macky user_u:object_r:user_home_t skript~ |
| |
Bezpečnostní profil aktivního uživatele získáte příkazem | Bezpečnostní profil aktivního uživatele zjistíte příkazem |
| |
/usr/bin/id -Z | /usr/bin/id -Z |
user_u:system_r:unconfined_t | user_u:system_r:unconfined_t |
| |
V všech případech získáte informaci o tzv. bezpečnostním kontextu. Konkrétně se jedná o část výpisu ve tvaru ''xxx_u:xxx_r:xxx_t''. Bezpečnostní kontext se v našem případě skládá ze tří částí oddělených dvojtečnou - uživatele, role, a typu. Z výše zmiňovaných součástí //SELinux//u schází //**MLS**// - ta by se nacházela úplně na konci, tj. za typem. | Ve všech případech získáte informaci o tzv. bezpečnostním kontextu. V prvním případě se jednalo o bezpečnostní kontext procesů, v druhém případě o bezpečnostní kontext souborů / adresářů a ve třetím případě o bezpečnostní kontext uživatele. Konkrétně se jedná o část výpisu ve tvaru ''xxx_u:xxx_r:xxx_t''. Bezpečnostní kontext se skládá ze tří částí oddělených dvojtečnou - uživatele, role a typu. Z výše zmiňovaných součástí //SELinux//u schází //**MLS**// - ta by se nacházela úplně na konci, tj. za typem.\\ |
| |
**Typ** je nejdůležitější složkou //SELinux//u - velká část bezpečnostních pravidel se "opírá" právě o něj. Většina klíčových aplikací jako např. Typ vždy končí na ''_t'' (//type//).\\ | **Typ** je nejdůležitější složkou //SELinux//u - velká část bezpečnostních pravidel se "opírá" právě o něj. Některé klíčové aplikace jako např. //httpd// nebo //Samba// mají vlastní bezpečnostní typ. Ostatní aplikace většinou používají defaultní typ ''unconfined_t'' - v tomto případě spoléhají pouze na //DAC//. Typ vždy končí na ''_t'' (//type//).\\ |
Další složkou je **role**. Ta má smysl pouze v případě subjektů (tj. uživatelů a procesů). Soubory mají vždy přiřazenu roli ''object_r'' a jejich případě má tato role za úkol pouze "vyplnit" místo v příslušné části bezpečnostního kontextu. Jak již bylo zmíněno dříve, role slouží k vytváření bezpečnostních profilů a tvoří tak základ //RBAC//. Role končí standardně na ''_r'' (//role//).\\ | Další složkou je **role**. Ta má smysl pouze v případě subjektů (tj. uživatelů a procesů). Soubory mají vždy přiřazenu roli ''object_r'' a jejich případě má tato role za úkol pouze "vyplnit" místo v příslušné části bezpečnostního kontextu. Jak již bylo zmíněno dříve, role slouží k vytváření bezpečnostních profilů a tvoří tak základ //RBAC//. Každý uživatel můžeme mit v jeden okamžik přiřazenu pouze jednu roli. V případě, že uživatel potřebuje jinou roli, musí se mezi těmito rolemi "přepnout". Role končí standardně na ''_r'' (//role//).\\ |
Poslední složkou je **uživatel**. Na uživatele lze pohlížet jako na množinu rolí. Bezpečnostní profil uživatele lze vytvořit totiž tak, že konkrétnímu uživateli přiřadíme přiřadíme konkrétní role. Defaultně v //SELinux//u figurují dva uživatelé - ''user_u'' a ''system_u''. Uživatel ''user_u'' je standardním profilem uživatele; pomocí ''system_u'' jsou označeny procesy spuštěné v průběhu bootování systému (tj. procesy, které nebyly aktivovány uživatelem). Složka uživatel končí na ''_u'' (//user//).\\ | Poslední složkou je **uživatel**. Na uživatele lze pohlížet jako na množinu rolí. Bezpečnostní profil uživatele lze vytvořit totiž tak, že konkrétnímu uživateli přiřadíme přiřadíme konkrétní role. Defaultně v //SELinux//u figurují tři uživatelé - ''user_u'', ''system_u'' a ''root''. Uživatel ''user_u'' je standardním profilem uživatele; pomocí ''system_u'' jsou označeny procesy spuštěné v průběhu bootování systému (tj. procesy, které nebyly aktivovány uživatelem). Uživatel ''root'' je Vám přiřazen //SELinux//em, jestliže se přihlásíte jako superuživatel. Složka uživatel končí na ''_u'' (//user//)((Pochopitelně s vyjímkou uživatele ''root''.)).\\ |
| |
| == == |
| |
| Bezpečnostní pravidla jsou pak dána formou matice, která "propojují" kontexty objektů a subjektů. Např. příkaz ''allow httpd_t net_conf_t:file { read getattr lock ioctl }'' umožňuje objektům ''httpd_t'' číst konfigurační soubory s typem ''net_conf_t''. Na základě tohoto pravidla může libovolný objekt typu ''httpd_t'' přistupovat k subjektům s typem ''net_conf_t''. |
| |
**Tip:** Jestliže budete chtít nalézt soubor, který má příslušný bezpečnostní kontext, stačí zadat analogický příkaz | **Tip:** Jestliže budete chtít nalézt soubor, který má příslušný bezpečnostní kontext, stačí zadat analogický příkaz |
== Konfigurační soubory == | == Konfigurační soubory == |
| |
Konfigurační soubory //SELinux//u jsou uloženy v adresáři ''/etc/selinux/''. Konkrétně se jedná o podadresář ''targeted''. Podadresář je možné změnit v souboru ''/etc/selinux/config''. Je tak možné nadefinovat několik bezpečnostních profilů a ty následně měnit podle potřeby. | Konfigurační soubory //SELinux//u jsou uloženy v adresáři ''/etc/selinux/''. Každý z podadresářů ''/etc/selinux'' pak může obsahovat samostatnou sadu bezpečnostních politik. Ve //Fedora Core// je defaultním podadresářem podadresář ''targeted''. Tento podadresář je možné změnit v souboru ''/etc/selinux/config''. |
| |
... | ... |
... | ... |
| |
Adresář ''/etc/selinux/targeted'' obsahuje další adresáře a soubory. | Je tak možné nadefinovat několik bezpečnostních profilů a ty následně měnit podle potřeby((Nicméně z logiky věci plyne, že v jeden okamžik může být aktivní pouze jedna politika.)).\\ |
| |
| Vraťme se zpět k adresáři ''/etc/selinux/targeted''. Tento adresář obsahuje další adresáře a soubory. |
| |
ls -la /etc/selinux/targeted | ls -la /etc/selinux/targeted |
| |
Adresář ''contexts'' obsahuje defaultní bezpečnostní kontexty. Některé aplikace používají tento tyto soubory pro konfiguraci systému. | Adresář ''contexts'' obsahuje defaultní bezpečnostní kontexty. Některé aplikace používají tento tyto soubory pro konfiguraci systému. |
Adresář ''modules'' je používán utilitami ''semodule'' a ''semanage'' jako pracovní při modifikaci politiky. Aktuální politika je uložena v podadresáři ''active''; předchozí politika pak v adresáři ''previous''. | Adresář ''modules'' je používán utilitami //SELinux//u jako pracovní při modifikaci politiky. Aktuální politika je uložena v podadresáři ''active''; předchozí politika pak v adresáři ''previous''. |
Dalším adresářem je ''policy'', který obsahuje profily aktuální bezpečnostní politiky. Ta je dána bezpečnostními pravidly, kterými se momentálně řídí //SELinux//. | Dalším adresářem je ''policy'', který obsahuje profily aktuální bezpečnostní politiky. Ta je dána bezpečnostními pravidly, kterými se momentálně řídí //SELinux//. Jedná se o soubor ve tvaru ''policy.xx'', kde ''xx'' představuje verzi politiky((Verzí se rozumí syntaxe, která je používána při definování bezpečnostních politik. Aktuální verzí v době psaní tohoto článku byla 21.)). Jedná se tedy z pohledu //SELinux//u o nejdůležitější soubor. |
V adresáři je také uložen ''/etc/selinux/targeted'' soubor ''seusers''. Tento soubor umožňuje mapovat linuxové uživatele na uživatele //SELinux//u a specifikovat úrovně //MLS//, se kterými mohou pracovat. Jestliže není konkrétní linuxový uživatel specifikován v tomto souboru, je použit defaultní //SELinux//ový uživatel (tj.''user_u''). Soubor ''seusers'' by neměl být modifikován jinak než pomocí utility ''semanage''. | V adresáři ''/etc/selinux/targeted'' je také uložen soubor ''seusers''. Tento soubor umožňuje mapovat linuxové uživatele na uživatele //SELinux//u a specifikovat úrovně //MLS//, se kterými mohou pracovat. Jestliže není konkrétní linuxový uživatel specifikován v tomto souboru, je použit defaultní //SELinux//ový uživatel (tj.''user_u''). Soubor ''seusers'' by neměl být modifikován ručně. |
Jednotlivé bezpečnostní úrovně //MLS//, na které se odkazuje soubor ''seusers'', jsou definovány v souboru ''setrans.conf''. | Jednotlivé bezpečnostní úrovně //MLS//, na které se odkazuje soubor ''seusers'', jsou definovány v souboru ''setrans.conf''. Tento soubor obsahuje také krátkou nápovědu. |
| |
=== Změna nastavení bezpečnostního kontextu === | === Změna nastavení bezpečnostního kontextu === |
| |
| == Základní změna nastavení == |
| |
Elementární změny bezpečnostního profilu lze provádět přes nabídku //Aplikace -> Systém -> Správa -> Úroveň zabezpečení a firewall// na záložce //SELinux//. Zde lze nastavit některé zákazy / povolení pro základní aplikace (viz. výše uvedená obrazovka).\\ | Elementární změny bezpečnostního profilu lze provádět přes nabídku //Aplikace -> Systém -> Správa -> Úroveň zabezpečení a firewall// na záložce //SELinux//. Zde lze nastavit některé zákazy / povolení pro základní aplikace (viz. výše uvedená obrazovka).\\ |
| |
| == SELinux Management Tool == |
| * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]]. |
| * Přečtěte si kapitolu [[navody:fc6instalace_aplikaci#Přidání repozitáře]]. |
| |
| Poněkud podrobnější nastavení umožňuje aplikace //SELinux Management Tool//. Tuto aplikaci lze nainstalovat pomocí |
| |
| yum -y install policycoreutils-gui |
| |
| {{ navody:selinux_management_tool.png | SELinux Management Tool }} |
| |
===== ===== | ===== ===== |
[[navody:fc6obsah|Hlavní stránka]] | [[navody:fc6obsah|Hlavní stránka]] |