Erläuterung des Befehls chcon


16

Könnte jemand diesen Befehl erklären:

chcon -R --reference=/var/www/html/ /var/www/html/install

Ich habe die Erklärung im Buch gelesen. aber ich kann es nicht klar verstehen. Verwenden Sie bei der Erläuterung des Befehls eine einfache Terminologie.

Antworten:


9

Sie sind in diesem Fall:

chcon -R --reference=RFILE FILE

wo:

  • chcon- Dateisicherheitskontext ändern; Sie können jeden Sicherheitskontext einer Datei mit überprüfen ls -Z.

  • -R - Dateien und Verzeichnisse rekursiv bearbeiten.

  • --reference=RFILE - Verwenden Sie den Sicherheitskontext von RFILE, anstatt einen CONTEXT-Wert anzugeben.

Der obige Befehl ändert also rekursiv den Sicherheitskontext jeder Datei von /var/www/html/installzu denen von /var/www/html.

Geben info coreutils 'chcon invocation'Sie das Terminal ein und Sie haben Zugriff auf das vollständige Handbuch.

Dieses Handbuch kann Ihnen helfen, alles über Security-Enhanced Linux (SELinux) zu verstehen.


Vielen Dank für Ihre Antwort. Meinten Sie, dass der Sicherheitskontext von / var / www / html auf alle Dateien angewendet wird, die sich im Verzeichnis / var / www / html / install befinden.
Donnerstag,

@ Jai Das ist richtig
Radu Rădeanu

Könnten Sie bitte mehr über "Sicherheitskontext" erklären? Vielen Dank.
Donnerstag,

2
Ich denke , diese Seite kann helfen Sie en.wikipedia.org/wiki/Security-Enhanced_Linux SELinux und seinen „Sicherheitskontext“ zu verstehen
Emmanuel

1
@Jai Sie können jeden Sicherheitskontext einer Datei mitls -Z
Radu Rădeanu

5

Wenn Sie Selinux verwenden , empfehle ich Ihnen, die Fedora-Dokumentation zu lesen.

Sehen :

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Dieser zweite Link ist für Fedora 13, aber IMO ist immer noch das aktuellste Dokument auf Selinux.

Eine übermäßige Vereinfachung von Selinux besteht darin, es als Erweiterung der Dateiberechtigungen zu betrachten (über den Besitzer hinaus: Gruppe: andere). Jede Datei hat also einen Kontext. Wenn eine Datei von einem HTTP-Server verwendet wird, besteht kein Grund, warum ein FTP-Server darauf zugreifen sollte. Sie können einem FTP-Server den Zugriff auf die Dateien erlauben, indem Sie einen Booleschen Wert aktivieren.

Das Problem, das Sie haben werden, ist, dass chcon ein relabel oder restorecon nicht überlebt.

5.7.1. Temporäre Änderungen: chcon Der Befehl chcon ändert den SELinux-Kontext für Dateien. Mit dem Befehl chcon vorgenommene Änderungen überstehen jedoch weder eine erneute Bezeichnung des Dateisystems noch die Ausführung des Befehls / sbin / restorecon. Die SELinux-Richtlinie steuert, ob Benutzer den SELinux-Kontext für eine bestimmte Datei ändern können. Bei Verwendung von chcon geben Benutzer den gesamten SELinux-Kontext oder einen Teil davon an, um ihn zu ändern. Ein falscher Dateityp ist eine häufige Ursache dafür, dass SELinux den Zugriff verweigert.

chcon ist für vorübergehende Änderungen vorgesehen.

Siehe https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html .

Mit ziemlicher Sicherheit möchten Sie restorecon verwenden

sudo /sbin/restorecon -R -v /var/www/

Wenn dies fehlschlägt, veröffentlichen Sie die AVC-Ablehnungen und geben Sie weitere Informationen zu den gewünschten Aktionen an. Höchstwahrscheinlich würde es einen Booleschen Wert geben, den Sie konfigurieren müssten.

Siehe https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Troubleshuring-Fixing_Problems.html


Aber es hat dazu geführt, dass ich dem RHCE-Leitfaden folge.
Donnerstag,
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.