Provided by: policycoreutils_3.5-2_amd64 
ИМЯ
restorecon - восстановить SELinux-контексты безопасности файлов по умолчанию.
ОБЗОР
restorecon [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W] [-I|-D] [-e directory] pathname ...
restorecon [-f infilename] [-e directory] [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W] [-I|-D]
ОПИСАНИЕ
Эта страница руководства содержит описание программы restorecon.
Эта программа используется в основном для установки контекста безопасности (расширенных атрибутов) для
одного или нескольких файлов.
Также можно запустить её в любой момент, чтобы исправить некорректные метки, добавить поддержку недавно
установленной политики или, используя параметр -n , пассивно проверить, соответствуют ли установленные
контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию).
Если объект файла не имеет контекста, restorecon запишет контекст по умолчанию в расширенные атрибуты
объекта файла. Если объект файла имеет контекст, restorecon изменит только ту часть контекста
безопасности, которая относится к типу. Параметр -F позволяет принудительно заменить контекст целиком.
Если у файла имеется метка настраиваемого типа SELinux customizable (список настраиваемых типов:
/etc/selinux/{SELINUXTYPE}/contexts/customizable_types), restorecon выполнит сброс метки только при
условии использования параметра -F.
Эта программа аналогична setfiles, но действует немного другим образом в зависимости от значения argv[0].
ПАРАМЕТРЫ
-e directory
исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать
соответствующее количество раз; необходимо указывать полный путь).
-f infilename
infilename содержит список файлов для обработки. Используйте “-” для stdin.
-F принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых
файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части
контекста, связанные с пользователем, ролью, диапазоном, а также тип).
-h, -? показать сведения об использовании и выйти.
-i игнорировать файлы, которые не существуют.
-I игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1
соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест
будет обновлён. Более подробные сведения доступны в разделе ПРИМЕЧАНИЯ.
-D установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы
включить использование расширенного атрибута security.restorecon_last.
-m не выполнять чтение /proc/mounts для получения списка монтирований без seclabel, которые следует
исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при
наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге
смонтирована файловая система с seclabel.
-n не изменять метки файлов (пассивная проверка). Чтобы просмотреть файлы, метки которых были бы
изменены, добавьте -v.
-o outfilename
этот параметр устарел и больше не поддерживается.
-p показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок
размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС,
будет показан примерный процент выполнения. Обратите внимание, что параметры -p и -v являются
взаимоисключающими.
-R, -r рекурсивно изменить метки файлов для файлов и каталогов (спускаться по каталогам).
-v показать изменения в метках файлов. Использование нескольких параметров -v увеличивает уровень
детализации. Обратите внимание, что параметры -v и -p являются взаимоисключающими.
-W показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью
вывода результатов selabel_stats(3).
-0 предполагается, что разделителем для элементов ввода является символ нуля (вместо пробела).
Символы кавычек и обратной косой черты также считаются обычными символами, которые могут
формировать допустимый ввод. Этот параметр также отключает строку конца файла (end-of-file
string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат
пробелы, кавычки или обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий
для этого режима.
АРГУМЕНТЫ
pathname ... Путь к файлу (файлам), для которых следует повторно проставить метки.
ПРИМЕЧАНИЯ
1. restorecon не переходит по символическим ссылкам и по умолчанию не работает с каталогами рекурсивно.
2. Если в pathname указан корневой каталог, установлен параметр -vR или -vr, а также запущена система
аудита, в журнал с меткой сообщения FS_RELABEL автоматически записывается событие аудита, которое
содержит сообщение о том, что произошло "массовое повторное проставление меток".
3. Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах (то
есть тогда, когда установлен параметр -R или -r ), параметр -D команды restorecon обеспечит
сохранение дайджеста SHA1 файлов спецификации по умолчанию в расширенном атрибуте с именем
security.restorecon_last для каталогов, указанных в соответствующих путях pathname ... , после
успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда
restorecon -D будет перезапущена с теми же параметрами pathname. Подробные сведения доступны в
selinux_restorecon(3).
Параметр -I позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в pathname ... , и,
при условии, что НЕ установлен параметр -n и установлен рекурсивный режим, для файлов будут
необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет
ошибок).
СМОТРИТЕ ТАКЖЕ
setfiles(8), fixfiles(8), load_policy(8), checkpolicy(8), customizable_types(5)
АВТОРЫ
Эта man-страница была написана Dan Walsh <dwalsh@redhat.com>. Некоторая часть содержимого этой
man-страницы была взята из man-страницы setfiles, написанной Russell Coker <russell@coker.com.au>.
Программа была написана Dan Walsh <dwalsh@redhat.com>. Перевод на русский язык выполнила Герасименко
Олеся <gammaray@basealt.ru>.
10 июня 2016 restorecon(8)