Вопросы Теги

SELinux httpd доступ для записи к каталогу

Это - то, как я сделал это:

vi /usr/share/applications/newitem.desktop

[Desktop Entry]
Version=1.0
Name=My Program
Exec=/home/danny/some/path/myprog/prog
Terminal=false
Type=Application
StartupNotify=true
Categories=Network;WebBrowser;
X-Desktop-File-Install-Version=0.15

Значок может быть добавлен включением Icon=/some/path.

9
14.05.2016, 17:26
2 ответа
[113611]SELinux использует расширенные атрибуты, которые могут добавляться к структурам каталогов на диске. Подумайте, если это мета-данные. Списки контроля доступа (ACL) - это другое. 

diskutil list

Расширенные атрибуты, которые вам нужно добавить к каталогу, называются контекстами, и SELinux действует как коп трафика, следя за тем, чтобы исполняемому файлу, имеющему определенные контексты, был разрешен доступ к файловой системе, основанной на этих контекстах. Вы можете увидеть, что доступно в каталоге, используя переключатель [114077]-Z[114078] на [114079]ls[114080].

Здесь видно, что эти каталоги имеют контекст [114081]httpd_sys_script_exec_t:s0[114082] на каталоге [114083]cgi-bin[114084] dir. и в каталоге [114085]html[114086] имеется [114087]httpd_sys_content_t:s0[114088]. 

diskutil mountDisk /dev/diskN

Вы можете добавить их с помощью команды [114089]chcon[114090]:

Команда, о которой вы спрашиваете, просто загрузит модуль [114091]mypoll.pp[114092] Я не верю, что он даст какие-то разрешения на что-либо, скорее всего, в аудите [114093] будет больше сообщений. log[114094], который вы пропустили со своей командой, который более подробно расскажет вам, что нужно сделать, чтобы разрешить доступ.

Я бы посоветовал вам потратить некоторое время и ознакомиться с SELinux. Поначалу это сбивает с толку, но, как правило, это просто, после того, как вы проведете с ним немного времени. Для начала ознакомьтесь с ресурсами ниже.

References

pkcs12 client.p12

CentOS SELinux Wiki Tutorial

Apache and SELinux

Gentoo Hardened SELinux Tutorials

5
27.01.2020, 20:04

Вот как постоянно изменять контекст каталога:

# install semanage if you don't already have it:
yum install policycoreutils-python

# give the directory a new default context. The part at the end is a regex.
semanage fcontext -a -t httpd_sys_rw_content_t "/path/to/directory(/.*)?"

# apply the default context to the directory
restorecon -R /path/to/directory

Вот дополнительная документация по различным контекстам httpd:

RHEL 7: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/SELinux_Users_and_Administrators_Guide/sect-Managing_Confined_Services-The_Apache_HTTP_Server-Types.html

RHEL 6: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Confined_Services/sect-Managing_Confined_Services-The_Apache_HTTP_Server-Types.html

17
27.01.2020, 20:04

Теги

Похожие вопросы