คำอธิบายของคำสั่ง chcon

16

บางคนสามารถอธิบายคำสั่งนี้:

chcon -R --reference=/var/www/html/ /var/www/html/install

ฉันได้อ่านคำอธิบายที่ให้ไว้ในหนังสือ; แต่ฉันไม่สามารถเข้าใจได้อย่างชัดเจน โปรดใช้คำศัพท์ง่ายๆในขณะที่อธิบายคำสั่ง

command-line  chcon 
rɑːdʒɑ
แหล่งที่มา

คำตอบ:

9

คุณอยู่ในกรณีนี้:

chcon -R --reference=RFILE FILE

ที่อยู่:

  • chcon- เปลี่ยนบริบทความปลอดภัยของไฟล์ คุณสามารถตรวจสอบบริบทความปลอดภัยใด ๆ ls -Zของไฟล์ที่มี

  • -R - ทำงานกับไฟล์และไดเรกทอรีแบบเรียกซ้ำ

  • --reference=RFILE - ใช้บริบทความปลอดภัยของ RFILE แทนที่จะระบุค่าบริบท

ดังนั้นการเปลี่ยนแปลงคำสั่งดังกล่าวซ้ำบริบทความปลอดภัยของแต่ละไฟล์จากไปผู้ที่มาจาก/var/www/html/install/var/www/html

พิมพ์info coreutils 'chcon invocation'เทอร์มินัลแล้วคุณจะสามารถเข้าถึงคู่มือฉบับสมบูรณ์ได้

คู่มือนี้ช่วยให้คุณเข้าใจทุกอย่างเกี่ยวกับ Security-Enhanced Linux (SELinux)

Radu Rădeanu
แหล่งที่มา
ขอบคุณสำหรับคำตอบของคุณหมายความว่าบริบทการรักษาความปลอดภัยของ / var / www / html จะถูกนำไปใช้กับไฟล์ทั้งหมดที่อยู่ในไดเรกทอรี / var / www / html / install
rɑːdʒɑ
@Jai ถูกต้องแล้ว
Radu Rădeanu
คุณช่วยอธิบายเพิ่มเติมเกี่ยวกับ "บริบทความปลอดภัย" ได้ไหม ขอขอบคุณ.
rʒɑdʒɑ
2
ฉันคิดว่าหน้านี้สามารถช่วยคุณen.wikipedia.org/wiki/Security-Enhanced_Linuxเพื่อทำความเข้าใจ SELinux และ "บริบทด้านความปลอดภัย"
Emmanuel
1
@Jai คุณสามารถตรวจสอบบริบทความปลอดภัยของไฟล์ด้วยls -Z
Radu Rădeanu
5

หากคุณกำลังใช้selinuxฉันขอแนะนำให้คุณอ่านเอกสารของ Fedora

ดู:

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

ลิงก์ที่สองนั้นมีไว้สำหรับ Fedora 13 แต่ IMO ยังคงเป็นเอกสารล่าสุดบน selinux

การขยายเกินขนาดของ selinux คือการพิจารณาว่ามันเป็นส่วนขยายของการอนุญาตของไฟล์ ดังนั้นทุกไฟล์จึงมีบริบท หากไฟล์ถูกใช้โดยเซิร์ฟเวอร์ http หมายความว่า ftp server ไม่ควรเข้าถึงไฟล์ดังกล่าว คุณสามารถอนุญาตให้เซิร์ฟเวอร์ ftp เข้าถึงไฟล์โดยเปิดใช้งานบูลีน

ปัญหาที่คุณจะมี chcon ไม่รอด relabel หรือ restorecon

5.7.1 การเปลี่ยนแปลงชั่วคราว: chcon คำสั่ง chcon เปลี่ยนบริบท SELinux สำหรับไฟล์ อย่างไรก็ตามการเปลี่ยนแปลงที่ทำกับคำสั่ง chcon จะไม่รอดจากระบบไฟล์ relabel หรือการดำเนินการของคำสั่ง / sbin / restorecon นโยบาย SELinux ควบคุมว่าผู้ใช้สามารถแก้ไขบริบท SELinux สำหรับไฟล์ใดก็ตาม เมื่อใช้ chcon ผู้ใช้จะต้องระบุบริบท SELinux ทั้งหมดหรือบางส่วนเพื่อเปลี่ยนแปลง ประเภทไฟล์ที่ไม่ถูกต้องเป็นสาเหตุที่พบบ่อยของ SELinux ที่ปฏิเสธการเข้าถึง

chcon มีไว้สำหรับการเปลี่ยนแปลงชั่วคราว

ดูhttps://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html

คุณเกือบจะต้องการใช้ restorecon อย่างแน่นอน

sudo /sbin/restorecon -R -v /var/www/

หากล้มเหลวให้โพสต์คำปฏิเสธ AVC และให้ข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่คุณต้องการจะทำ เป็นไปได้มากว่าจะมีบูลีนที่คุณจะต้องกำหนดค่า

ดูhttps://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Troubleshooting-Fixing_Problems.html

เสือดำ
แหล่งที่มา
แต่มันก็ได้รับคำแนะนำให้ทำอย่างนั้นฉันกำลังทำตามคำแนะนำของ RHCE
rɑːdʒɑ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.