Provided by: policycoreutils-python-utils_3.5-1_all bug

ИМЯ
       sandbox - выполнить приложение cmd в изолированной среде SELinux


ОБЗОР
       sandbox  [-C]  [-s]  [  -d  DPI  ] [-l level ] [[-M | -X]  -H homedir -T tempdir ] [-I includefile ] [ -W
       windowmanager ] [ -w windowsize ] [[-i file ]...] [ -t type ] cmd

       sandbox [-C] [-s] [ -d DPI ] [-l level ] [[-M | -X]  -H homedir -T tempdir  ]  [-I  includefile  ]  [  -W
       windowmanager ] [ -w windowsize ] [[-i file ]...] [ -t type ] -S


ОПИСАНИЕ
       Выполнить  приложение cmd в строго ограниченном домене SELinux. По умолчанию в домене изолированной среды
       приложения могут только читать и записывать stdin, stdout и любые другие передаваемые дескрипторы файлов.
       Открывать другие файлы нельзя. Параметр -M  позволяет  смонтировать  альтернативные  домашний  каталог  и
       временный каталог, которые будут использоваться изолированной средой.

       Если  установлен пакет policycoreutils-sandbox, можно использовать параметр -X и параметр -M.  sandbox -X
       позволяет запускать приложения X в изолированной среде. Эти приложения запускаются на  своём  собственном
       X-сервере и создают временные домашний каталог и каталог /tmp. Политика SELinux по умолчанию не разрешает
       использовать  какие-либо  средства  для управления привилегиями или осуществлять доступ к сети. Она также
       предотвращает доступ к другим процессам и  файлам  пользователей.  Указанные  в  команде  файлы,  которые
       находятся в домашнем каталоге или каталоге /tmp, будут скопированы в каталоги изолированной среды.

       Если  каталоги  указаны с параметром -H или -T, их контекст будет изменён chcon(1) (если только с помощью
       параметра -l не указан уровень). Если уровень безопасности MLS/MCS указан, пользователь должен установить
       правильные метки.

       -h --help
              Показать сведения об использовании

       -H --homedir
              Указать альтернативный домашний каталог для монтирования  вместо  вашего  домашнего  каталога.  По
              умолчанию используется временный каталог. Требуется -X или -M.

       -i --include
              Копировать  этот  файл  в  соответствующий  временный  каталог  изолированной среды. Команду можно
              повторять.

       -I --includefile
              Копировать все файлы, перечисленные во входном  файле  (inputfile),  в  соответствующие  временные
              каталоги изолированной среды.

       -l --level
              Указать  уровень  безопасности  MLS/MCS,  с  которым  следует  запускать  изолированную  среду. По
              умолчанию используется случайное значение.

       -M --mount
              Создать изолированную среду с временными файлами для $HOME и /tmp.

       -s --shred
              Уничтожить временные файлы, созданные в $HOME в /tmp, перед удалением.

       -t --type
              Использовать альтернативный тип изолированной среды. По умолчанию: sandbox_t или  sandbox_x_t  для
              -X.

              Примеры:
              sandbox_t -    без  X,  без  доступа к сети, без открытия, чтение/запись передаются в дескрипторах
              файлов.
              sandbox_min_t  -    без доступа к сети
              sandbox_x_t    -    порты для X-приложений, которые следует запустить локально
              sandbox_web_t  -    порты, необходимые для работы в Интернете
              sandbox_net_t  -         сетевые порты (для серверного ПО)
              sandbox_net_client_t     -    все сетевые порты

       -T --tmpdir
              Использовать альтернативный временный каталог  для  монтирования  в  /tmp.  По  умолчанию:  tmpfs.
              Требуется -X или -M.

       -S --session
              Запустить полный сеанс рабочего стола. Требуется уровень, домашний каталог и временный каталог.

       -w --windowsize
              Указать размер окна при создании изолированной среды на основе X. По умолчанию: 1000x700.

       -W --windowmanager
              Выбрать альтернативный диспетчер окон для запуска в sandbox -X.  По умолчанию: /usr/bin/openbox.

       -X     Создать  изолированную  среду  на  основе  X  для приложений графического интерфейса пользователя,
              временные файлы для $HOME и /tmp, дополнительный X-сервер. По умолчанию: sandbox_x_t

       -d --dpi
              Указать значение разрешения (DPI) для X-сервера изолированной  среды.  По  умолчанию  используется
              значение разрешения текущего X-сервера.

       -C --capabilities
              Использовать  средства  для  управления  привилегиями  внутри  изолированной  среды.  По умолчанию
              приложениям, которые выполняются  в  изолированной  среде,  запрещено  использовать  средства  для
              управления  привилегиями  (setuid  apps),  но  с  флагом  -C можно использовать программы, которым
              необходимы средства для управления привилегиями.


СМОТРИТЕ ТАКЖЕ
       runcon(1), seunshare(8), selinux(8)


АВТОРЫ
       Эта   страница   руководства   была   написана   Dan   Walsh    <dwalsh@redhat.com>    и    Thomas    Liu
       <tliu@fedoraproject.org>.  Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.

sandbox                                             Май 2010                                          SANDBOX(8)