Explicación del comando chcon

16

¿Alguien podría explicar este comando:

chcon -R --reference=/var/www/html/ /var/www/html/install

He leído la explicación dada en el libro; pero no puedo entenderlo claramente. Utilice una terminología simple al explicar el comando.

command-line chcon rɑːdʒɑ
fuente

Respuestas:

9

Estás en este caso:

chcon -R --reference=RFILE FILE

dónde:

  • chcon- cambiar el contexto de seguridad del archivo; puede verificar cualquier contexto de seguridad de un archivo con ls -Z.

  • -R - operar en archivos y directorios de forma recursiva.

  • --reference=RFILE - use el contexto de seguridad de RFILE en lugar de especificar un valor de CONTEXTO.

Por lo tanto, el comando anterior cambia recursivamente el contexto de seguridad de cada archivo de /var/www/html/installa aquellos de /var/www/html.

Escriba info coreutils 'chcon invocation'terminal y tendrá acceso al manual completo.

Este manual puede ayudarlo a comprender todo acerca de Linux con seguridad mejorada (SELinux).

Radu Rădeanu
fuente
Gracias por su respuesta, ¿quiso decir que el contexto de seguridad de / var / www / html se aplicará a todos los archivos que se colocan en el directorio / var / www / html / install.
rɑːdʒɑ
@Jai Eso es correcto
Radu Rădeanu
¿podría explicar más sobre el "contexto de seguridad"? Gracias.
rɑːdʒɑ
2
Creo que esta página puede ayudarte a en.wikipedia.org/wiki/Security-Enhanced_Linux para comprender SELinux y su "contexto de seguridad"
Emmanuel
1
@Jai puede verificar cualquier contexto de seguridad de un archivo conls -Z
Radu Rădeanu
5

Si está utilizando selinux , le sugiero que lea la documentación de Fedora.

Ver :

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Ese segundo enlace es para Fedora 13, pero, en mi opinión, sigue siendo el documento más actualizado sobre selinux.

Una simplificación excesiva de selinux es considerarlo una extensión de los permisos de archivo (más allá del propietario: grupo: otro). Entonces cada archivo tiene un contexto. Si un servidor http utiliza un archivo, no hay razón para que un servidor ftp deba acceder a él. Puede permitir que un servidor ftp acceda a los archivos habilitando un booleano.

El problema que tendrá es que chcon no sobrevive a un reetiquetado o restorecon.

5.7.1. Cambios temporales: chcon el comando chcon cambia el contexto SELinux para los archivos. Sin embargo, los cambios realizados con el comando chcon no sobreviven a un etiquetado del sistema de archivos o la ejecución del comando / sbin / restorecon. La política de SELinux controla si los usuarios pueden modificar el contexto de SELinux para cualquier archivo dado. Cuando se usa chcon, los usuarios proporcionan todo o parte del contexto SELinux para cambiar. Un tipo de archivo incorrecto es una causa común de que SELinux niegue el acceso.

chcon está destinado a cambios temporales.

Consulte https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html .

Seguramente querrás usar restorecon

sudo /sbin/restorecon -R -v /var/www/

Si eso falla, publique las denegaciones de avc y brinde más información sobre lo que desea hacer. Lo más probable es que haya un booleano que deba configurar.

Ver https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Troubleshooting-Fixing_Problems.html

Pantera
fuente
Pero fue guiado para hacer eso, estoy siguiendo la guía RHCE.
rɑːdʒɑ