O pseudo sistema de arquivos SELinux disponibiliza uma interface primária de controle entre o SELinux LSM em espaço de kernel e os programas em espaço de usuário. Por padrão, o sistema de arquivos SELinux é montado em ``/selinux''. Muitos utilitários SELinux e APIs (disponibilizadas pela biblioteca libselinux) usam o sistema de arquivos SELinux para acessar o módulo LSM. Muitos arquivos nesse sistema de arquivos são interessantes ao administrador, como:
- Diretório booleans: esse diretório contém um arquivo para cada boolean definida na política. O conteúdo do arquivo contém dois valores: o valor corrente e valor pendente. O valor pendente é valor que a boolean será modificada quando os valores forem confirmados (commiteds, conforme commit_pending_bools). O arquivo possui o mesmo nome que a variável booleana definida na política.
- commit_pending_bools: o arquivo sinaliza ao servidor de segurança em espaço de kernel que a nova política de valores booleanos estão prontos para serem ativados. Essa característica permite que múltiplos valores booleanos sejam modificados em conjunto ao invés de em sequência, caso desejado.
- disable: arquivo de interface que o init utiliza para desabilitar o SELinux durante a inicialização. Somente o init pode utilizar esse arquivo.
- enforce: arquivo de interface utilizado para ligar e desligar o modo aplicado (enforcing). Essa é a interface que o init utiliza durante o boot para escolher o modo do SELinux baseado na configuração salva em /etc/selinux/config. Também pode ser utilizado diretamente através dos valores 0 (modo aplicado) e 1 (modo permissivo). A mudança do modo é aplicada imediatamente. O comando setenforce faz exatamente isso de uma maneira mais simples para o usuário.
- load: este arquivo é a interface utilizada pelo programa load_policy para carregar um novo arquivo de política binário.
- mls: usado pelo kernel para indicar se a política MLS está ativada no sistema.
- policyvers: o arquivo contém o valor do número de versão máxima suportado pelo kernel.
Jeronimo Zucco
2008-04-26
