Objaśnienie polecenia chcon

16

Czy ktoś mógłby wyjaśnić to polecenie:

chcon -R --reference=/var/www/html/ /var/www/html/install

Przeczytałem wyjaśnienie podane w książce; ale nie jestem w stanie tego jasno zrozumieć. Podczas wyjaśniania polecenia użyj prostej terminologii.

command-line chcon rɑːdʒɑ
źródło

Odpowiedzi:

9

Jesteś w tym przypadku:

chcon -R --reference=RFILE FILE

gdzie:

  • chcon- zmiana kontekstu bezpieczeństwa plików; możesz sprawdzić dowolny kontekst bezpieczeństwa pliku za pomocą ls -Z.

  • -R - rekurencyjnie operować na plikach i katalogach.

  • --reference=RFILE - użyj kontekstu bezpieczeństwa RFILE zamiast określania wartości KONTEKST.

Tak więc powyższe polecenie zmienia rekurencyjnie kontekst bezpieczeństwa każdego pliku z /var/www/html/installna plik z /var/www/html.

Wpisz info coreutils 'chcon invocation'terminal, a będziesz miał dostęp do pełnej instrukcji.

Ten podręcznik pomoże ci zrozumieć wszystko na temat zwiększonego bezpieczeństwa Linuksa (SELinux).

Radu Rădeanu
źródło
Dziękuję za odpowiedź, czy miałeś na myśli, że kontekst bezpieczeństwa / var / www / html zostanie zastosowany do wszystkich plików umieszczonych w katalogu / var / www / html / install.
rɑːdʒɑ
@Jai Zgadza się
Radu Rădeanu,
czy możesz wyjaśnić więcej na temat „kontekstu bezpieczeństwa”. Dziękuję Ci.
rɑːdʒɑ
2
Myślę, że ta strona pomoże ci en.wikipedia.org/wiki/Security-Enhanced_Linux zrozumieć SELinux i jego „kontekst bezpieczeństwa”
Emmanuel
1
@Jai możesz sprawdzić dowolny kontekst bezpieczeństwa pliku za pomocąls -Z
Radu Rădeanu
5

Jeśli używasz selinux , sugeruję przeczytanie dokumentacji Fedory.

Widzieć :

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Ten drugi link jest dla Fedory 13, ale IMO pozostaje najbardziej aktualnym dokumentem na selinux.

Nadmiernym uproszczeniem selinux jest uznanie go za rozszerzenie uprawnień do plików (ponad i poza właścicielem: grupa: inna). Więc każdy plik ma kontekst. Jeśli plik jest używany przez serwer http, nie ma powodu, aby serwer ftp miał do niego dostęp. Możesz zezwolić serwerowi ftp na dostęp do plików, włączając wartość logiczną.

Problem, który będziesz miał, chcon nie przetrwa etykiety lub przywracania.

5.7.1. Zmiany tymczasowe: chcon Polecenie chcon zmienia kontekst SELinux dla plików. Jednak zmiany dokonane za pomocą polecenia chcon nie przetrwają etykiety systemu plików ani wykonania polecenia / sbin / restorecon. Polityka SELinux kontroluje, czy użytkownicy mogą modyfikować kontekst SELinux dla dowolnego pliku. Korzystając z chcon, użytkownicy udostępniają cały lub część kontekstu SELinux do zmiany. Nieprawidłowy typ pliku jest częstą przyczyną odmowy dostępu SELinux.

chcon jest przeznaczony do tymczasowych zmian.

Zobacz https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html .

Prawie na pewno będziesz chciał użyć restorecon

sudo /sbin/restorecon -R -v /var/www/

Jeśli to się nie powiedzie, opublikuj odmowy AVC i podaj więcej informacji na temat tego, co chcesz zrobić. Najprawdopodobniej byłby Boolean, który trzeba skonfigurować.

Zobacz https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Trou Rozwiązywanie problemów-Fixing_Problems.html

Pantera
źródło
Ale kieruje się tak, postępuję zgodnie z instrukcją RHCE.
rɑːdʒɑ