Объяснение команды chcon

Может ли кто-нибудь объяснить эту команду:

chcon -R --reference=/var/www/html/ /var/www/html/install

Я прочитал объяснение, данное в книге; но я не могу понять это ясно. Пожалуйста, используйте простую терминологию при объяснении команды.

2 ответа

Решение

Вы в этом случае:

chcon -R --reference=RFILE FILE

где:

  • chcon - изменить контекст безопасности файла; Вы можете проверить любой контекст безопасности файла с ls -Z,

  • -R - рекурсивно работать с файлами и каталогами.

  • --reference=RFILE - использовать контекст безопасности RFILE, а не указывать значение CONTEXT.

Таким образом, приведенная выше команда рекурсивно меняет контекст безопасности каждого файла из /var/www/html/install тем из /var/www/html,

Тип info coreutils 'chcon invocation' в терминале, и у вас будет доступ к полному руководству.

Это руководство может помочь вам понять все о Security-Enhanced Linux (SELinux).

Если вы используете selinux, я предлагаю вам прочитать документацию Fedora.

Увидеть:

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Эта вторая ссылка предназначена для Fedora 13, но, IMO, остается самым последним документом о selinux.

Упрощение selinux заключается в том, что он считается расширением прав доступа к файлам (помимо владельца: group: other). Таким образом, каждый файл имеет контекст. Если файл используется http-сервером, то нет причин, по которым ftp-сервер должен обращаться к нему. Вы можете разрешить ftp-серверу доступ к файлам, включив логическое значение.

Проблема, с которой вы столкнетесь, - это то, что chcon не переживет релабел и не восстановит.

5.7.1. Временные изменения: chcon Команда chcon изменяет контекст SELinux для файлов. Тем не менее, изменения, внесенные с помощью команды chcon, не сохраняются после переименования файловой системы или выполнения команды / sbin / restorecon. Политика SELinux контролирует, могут ли пользователи изменять контекст SELinux для любого данного файла. При использовании chcon пользователи предоставляют весь или часть контекста SELinux для изменения. Неверный тип файла является частой причиной отказа SELinux в доступе.

chcon предназначен для временных изменений.

См. https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html.

Вы почти наверняка захотите использовать restorecon

sudo /sbin/restorecon -R -v /var/www/

Если это не сработает, опубликуйте отказ AVC и предоставьте больше информации о том, что вы хотите сделать. Скорее всего, будет логическое значение, которое вам нужно будет настроить.

См. https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Troubleshooting-Fixing_Problems.html

Другие вопросы по тегам