Как установить метки selinux для иерархии папок, к которой на стороне сервера обращаются демоны NFS, Apache и SaMBa одновременно?
Вы можете попробовать это, это просто.
Вы можете отправить пользователя в тюрьму всего за 3 шага.
1. add user to system
2. create a jail with jail-shell command.
3. set user into jail with jail-shell command.
Вот инструмент:https://github.com/pymumu/jail-shell
ПРИМЕЧАНИЕ.:Я разработчик этого инструмента, так что это своего рода реклама.
Nick Peng = pymumu
Если у вас есть сервер NFS, который поддерживает «метку безопасности _» в NFSv4.2, вы можете создать экспорт, поддерживающий расширенные атрибуты, используемые для меток SELinux. Я не знаю ни одной работающей реализации smb (, возможно, расширение Posix в SMB3 получит его в будущем?).
В противном случае, если вам нужно, чтобы определенный каталог, смонтированный через NFS, имел определенную метку, используйте параметр монтирования context="mylabel _t". Он будет иметь этот контекст для всех файлов и каталогов, предлагаемых этим общим ресурсом.
Политика SELinux также содержит логические значения для различных служб, позволяющие им читать из общих ресурсов nfs и smb.
Редактировать:Если вы экспортируете каталог (, назовите его /data )через nfs, smb и http, попробуйте использовать общедоступный _контент _t:
# semanage fcontext -a -t public_content_t "/data(/.*)?"
# restorecon -F -R -v /data