.TH SANDBOX "8" "Май 2010" "sandbox" "Команды пользователя"

.SH ИМЯ

sandbox \- выполнить приложение cmd в изолированной среде SELinux

.SH ОБЗОР

.B sandbox

[\-C] [\-s] [ \-d DPI ] [\-l level ] [[\-M | \-X]  \-H homedir \-T tempdir ] [\-I includefile ] [ \-W windowmanager ] [ \-w windowsize ] [[\-i file ]...] [ \-t type ] cmd

.br

.B sandbox

[\-C] [\-s] [ \-d DPI ] [\-l level ] [[\-M | \-X]  \-H homedir \-T tempdir ] [\-I includefile ] [ \-W windowmanager ] [ \-w windowsize ] [[\-i file ]...] [ \-t type ] \-S

.br

.SH ОПИСАНИЕ

.PP

Выполнить приложение

.I cmd 

в строго ограниченном домене SELinux. По умолчанию в домене изолированной среды приложения могут только читать и записывать stdin, stdout и любые другие передаваемые дескрипторы файлов. Открывать другие файлы нельзя. Параметр \-M позволяет смонтировать альтернативные домашний каталог и временный каталог, которые будут использоваться изолированной средой.

Если установлен пакет 

.I policycoreutils-sandbox, 

можно использовать параметр \-X и параметр \-M.

.B sandbox \-X

позволяет запускать приложения X в изолированной среде. Эти приложения запускаются на своём собственном X-сервере и создают временные домашний каталог и каталог /tmp. Политика SELinux по умолчанию не разрешает использовать какие-либо средства для управления привилегиями или осуществлять доступ к сети. Она также предотвращает доступ к другим процессам и файлам пользователей. Указанные в команде файлы, которые находятся в домашнем каталоге или каталоге /tmp, будут скопированы в каталоги изолированной среды.

Если каталоги указаны с параметром \-H или \-T, их контекст будет изменён chcon(1) (если только с помощью параметра \-l не указан уровень). Если уровень безопасности MLS/MCS указан, пользователь должен установить правильные метки.

.PP

.TP

\fB\-h\ \fB\-\-help\fR

Показать сведения об использовании

.TP

\fB\-H\ \fB\-\-homedir\fR

Указать альтернативный домашний каталог для монтирования вместо вашего домашнего каталога. По умолчанию используется временный каталог. Требуется \-X или \-M.

.TP

\fB\-i\fR \fB\-\-include\fR

Копировать этот файл в соответствующий временный каталог изолированной среды. Команду можно повторять.

.TP

\fB\-I\fR \fB\-\-includefile\fR

Копировать все файлы, перечисленные во входном файле (inputfile), в соответствующие временные каталоги изолированной среды.

.TP

\fB\-l\fR \fB\-\-level\fR

Указать уровень безопасности MLS/MCS, с которым следует запускать изолированную среду. По умолчанию используется случайное значение.

.TP

\fB\-M\fR \fB\-\-mount\fR

Создать изолированную среду с временными файлами для $HOME и /tmp.

.TP

\fB\-s\fR \fB\-\-shred\fR

Уничтожить временные файлы, созданные в $HOME в /tmp, перед удалением.

.TP

\fB\-t\fR \fB\-\-type\fR

Использовать альтернативный тип изолированной среды. По умолчанию: sandbox_t или sandbox_x_t для \-X.

\fBПримеры:\fR

.br

sandbox_t	\-	без X, без доступа к сети, без открытия, чтение/запись передаются в дескрипторах файлов.

.br

sandbox_min_t	\-	без доступа к сети

.br

sandbox_x_t	\-	порты для X-приложений, которые следует запустить локально

.br

sandbox_web_t	\-	порты, необходимые для работы в Интернете

.br

sandbox_net_t	\-		сетевые порты (для серверного ПО)

.br

sandbox_net_client_t	\-	все сетевые порты

.TP

\fB\-T\fR \fB\-\-tmpdir\fR

Использовать альтернативный временный каталог для монтирования в /tmp. По умолчанию: tmpfs. Требуется \-X или \-M.

.TP

\fB\-S\fR \fB\-\-session\fR

Запустить полный сеанс рабочего стола. Требуется уровень, домашний каталог и временный каталог.

.TP

\fB\-w\fR \fB\-\-windowsize\fR

Указать размер окна при создании изолированной среды на основе X. По умолчанию: 1000x700.

.TP

\fB\-W\fR \fB\-\-windowmanager\fR

Выбрать альтернативный диспетчер окон для запуска в 

.B sandbox \-X.

По умолчанию: /usr/bin/openbox.

.TP

\fB\-X\fR 

Создать изолированную среду на основе X для приложений графического интерфейса пользователя, временные файлы для $HOME и /tmp, дополнительный X-сервер. По умолчанию: sandbox_x_t

.TP

\fB\-d\fR \fB\-\-dpi\fR

Указать значение разрешения (DPI) для X-сервера изолированной среды. По умолчанию используется значение разрешения текущего X-сервера.

.TP

\fB\-C\fR \fB\-\-capabilities\fR

Использовать средства для управления привилегиями внутри изолированной среды. По умолчанию приложениям, которые выполняются в изолированной среде, запрещено использовать средства для управления привилегиями (setuid apps), но с флагом \-C можно использовать программы, которым необходимы средства для управления привилегиями.

.PP

.SH "СМОТРИТЕ ТАКЖЕ"

.TP

runcon(1), seunshare(8), selinux(8)

.PP

.SH АВТОРЫ

Эта страница руководства была написана

.I Dan Walsh <dwalsh@redhat.com>

и

.I Thomas Liu <tliu@fedoraproject.org>.

Перевод на русский язык выполнила 

.I Герасименко Олеся <gammaray@basealt.ru>.