Объяснение команды chcon

16

Может ли кто-нибудь объяснить эту команду:

chcon -R --reference=/var/www/html/ /var/www/html/install

Я прочитал объяснение, данное в книге; но я не могу понять это ясно. Пожалуйста, используйте простую терминологию при объяснении команды.

command-line chcon rɑːdʒɑ
источник

Ответы:

9

Вы в этом случае:

chcon -R --reference=RFILE FILE

где:

  • chcon- изменить контекст безопасности файла; Вы можете проверить любой контекст безопасности файла с ls -Z.

  • -R - рекурсивно работать с файлами и каталогами.

  • --reference=RFILE - использовать контекст безопасности RFILE, а не указывать значение CONTEXT.

Таким образом, приведенная выше команда рекурсивно меняет контекст безопасности каждого файла с /var/www/html/installтакового из /var/www/html.

Введите info coreutils 'chcon invocation'в терминал, и вы получите доступ к полному руководству.

Это руководство может помочь вам понять все о Security-Enhanced Linux (SELinux).

Раду Рэдяну
источник
Спасибо за ваш ответ. Вы имели в виду, что контекст безопасности / var / www / html будет применяться ко всем файлам, которые находятся в каталоге / var / www / html / install.
r13d '
@Jai Это правильно
Раду Рэдяну
Не могли бы вы объяснить больше о "контексте безопасности". Спасибо.
2013 года
2
Я думаю, что эта страница может помочь вам en.wikipedia.org/wiki/Security-Enhanced_Linux понять SELinux и его «контекст безопасности»
Эммануэль
1
@Jai, вы можете проверить любой контекст безопасности файла сls -Z
Раду Рэдяну
5

Если вы используете selinux , я предлагаю вам прочитать документацию Fedora.

Видеть :

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Эта вторая ссылка предназначена для Fedora 13, но, IMO, остается самым последним документом о selinux.

Упрощение selinux заключается в том, что он считается расширением прав доступа к файлам (помимо владельца: group: other). Таким образом, каждый файл имеет контекст. Если файл используется http-сервером, то нет причин, по которым ftp-сервер должен обращаться к нему. Вы можете разрешить ftp-серверу доступ к файлам, включив логическое значение.

Проблема, с которой вы столкнетесь, - это то, что chcon не переживет релабел и не восстановит.

5.7.1. Временные изменения: chcon команда chcon изменяет контекст SELinux для файлов. Тем не менее, изменения, внесенные с помощью команды chcon, не сохраняются после переименования файловой системы или выполнения команды / sbin / restorecon. Политика SELinux контролирует, могут ли пользователи изменять контекст SELinux для любого данного файла. При использовании chcon пользователи предоставляют весь или часть контекста SELinux для изменения. Неверный тип файла является частой причиной отказа SELinux в доступе.

chcon предназначен для временных изменений.

См. Https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html .

Вы почти наверняка захотите использовать restorecon

sudo /sbin/restorecon -R -v /var/www/

Если это не сработает, опубликуйте отказ AVC и предоставьте больше информации о том, что вы хотите сделать. Скорее всего, будет логическое значение, которое вам нужно будет настроить.

См. Https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Troubleshoot-Fixing_Problems.html.

пантера
источник
Но руководствуясь этим, я следую руководству RHCE.
r13d at