Spiegazione del comando chcon

16

Qualcuno potrebbe spiegare questo comando:

chcon -R --reference=/var/www/html/ /var/www/html/install

Ho letto la spiegazione fornita nel libro; ma non riesco a capirlo chiaramente. Utilizzare una terminologia semplice mentre si spiega il comando.

command-line  chcon 
rɑːdʒɑ
fonte

Risposte:

9

Sei in questo caso:

chcon -R --reference=RFILE FILE

dove:

  • chcon- modifica del contesto di sicurezza dei file; puoi controllare qualsiasi contesto di sicurezza di un file con ls -Z.

  • -R - operare su file e directory in modo ricorsivo.

  • --reference=RFILE - utilizzare il contesto di sicurezza di RFILE anziché specificare un valore CONTEXT.

Quindi, il comando sopra cambia in modo ricorsivo il contesto di sicurezza di ciascun file da /var/www/html/installa quelli da /var/www/html.

Digita il info coreutils 'chcon invocation'terminale e avrai accesso al manuale completo.

Questo manuale può aiutarti a comprendere tutto su Security-Enhanced Linux (SELinux).

Radu Rădeanu
fonte
Grazie per la risposta, intendevi dire che il contesto di sicurezza di / var / www / html verrà applicato a tutti i file che si trovano nella directory / var / www / html / install.
rʒɑdʒɑ
@Jai Esatto
Radu Rădeanu,
potresti per favore spiegare di più sul "contesto di sicurezza". Grazie.
rʒɑdʒɑ,
2
Penso che questa pagina possa aiutarti a en.wikipedia.org/wiki/Security-Enhanced_Linux per comprendere SELinux e il suo "contesto di sicurezza"
Emmanuel,
1
@Jai puoi controllare qualsiasi contesto di sicurezza di un file conls -Z
Radu Rădeanu il
5

Se stai usando selinux , ti suggerisco di leggere la documentazione di Fedora.

Vedi:

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Quel secondo link è per Fedora 13, ma, IMO, rimane il documento più aggiornato su selinux.

Una semplificazione eccessiva di selinux è quella di considerarla un'estensione dei permessi dei file (sopra e oltre il proprietario: gruppo: altro). Quindi ogni file ha un contesto. Se un file viene utilizzato da un server http, non vi è motivo per cui un server ftp debba accedervi. È possibile consentire a un server ftp di accedere ai file abilitando un valore booleano.

Il problema che avrai, chcon non sopravvive a una nuova etichetta o restauro.

5.7.1. Modifiche temporanee: chcon il comando chcon modifica il contesto SELinux per i file. Tuttavia, le modifiche apportate con il comando chcon non sopravvivono alla rietichettatura del file system o all'esecuzione del comando / sbin / restorecon. La politica SELinux controlla se gli utenti sono in grado di modificare il contesto SELinux per un dato file. Quando usano chcon, gli utenti forniscono tutto o parte del contesto SELinux per cambiare. Un tipo di file errato è una causa comune di SELinux che nega l'accesso.

chcon è destinato a modifiche temporanee.

Vedi https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html .

Quasi sicuramente vorrai usare Restorecon

sudo /sbin/restorecon -R -v /var/www/

Se il problema persiste, pubblica i rifiuti di avc e fornisci ulteriori informazioni su ciò che vuoi fare. Molto probabilmente ci sarebbe un booleano che dovresti configurare.

Vedi https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Tro troubleshooting- Fixing_Problems.html

Pantera
fonte
Ma ha guidato a fare così, sto seguendo la guida RHCE.
rʒɑdʒɑ
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.