Explication de la commande chcon

16

Quelqu'un pourrait-il expliquer cette commande:

chcon -R --reference=/var/www/html/ /var/www/html/install

J'ai lu l'explication donnée dans le livre; mais je ne peux pas le comprendre clairement. Veuillez utiliser une terminologie simple tout en expliquant la commande.

command-line chcon rɑːdʒɑ
la source

Réponses:

9

Vous êtes dans ce cas:

chcon -R --reference=RFILE FILE

où:

  • chcon- changer le contexte de sécurité des fichiers; vous pouvez vérifier tout contexte de sécurité d'un fichier avec ls -Z.

  • -R - fonctionner récursivement sur des fichiers et des répertoires.

  • --reference=RFILE - utiliser le contexte de sécurité de RFILE plutôt que de spécifier une valeur CONTEXT.

Ainsi, la commande ci-dessus modifie récursivement le contexte de sécurité de chaque fichier de /var/www/html/installà ceux de /var/www/html.

Tapez info coreutils 'chcon invocation'terminal et vous aurez accès au manuel complet.

Ce manuel peut vous aider à tout comprendre sur Linux à sécurité renforcée (SELinux).

Radu Rădeanu
la source
Merci pour votre réponse, vouliez-vous dire que le contexte de sécurité de / var / www / html sera appliqué à tous les fichiers placés dans le répertoire / var / www / html / install.
rɑːdʒɑ
@Jai C'est vrai
Radu Rădeanu
pourriez-vous s'il vous plaît expliquer plus sur le "contexte de sécurité". Je vous remercie.
rɑːdʒɑ
2
Je pense que cette page peut vous aider en.wikipedia.org/wiki/Security-Enhanced_Linux pour comprendre SELinux et son "contexte de sécurité"
Emmanuel
1
@Jai, vous pouvez vérifier tout contexte de sécurité d'un fichier avecls -Z
Radu Rădeanu
5

Si vous utilisez selinux , je vous suggère de lire la documentation de Fedora.

Voir:

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Ce deuxième lien est pour Fedora 13, mais, l'OMI, reste le document le plus à jour sur selinux.

Une simplification excessive de selinux consiste à le considérer comme une extension des autorisations de fichiers (au-delà du propriétaire: groupe: autre). Donc, chaque fichier a un contexte. Si un fichier est utilisé par un serveur http, il n'y a aucune raison pour qu'un serveur ftp y accède. Vous pouvez autoriser un serveur ftp à accéder aux fichiers en activant un booléen.

Le problème que vous aurez, chcon ne survit pas à un réétiquetage ou à une restauration.

5.7.1. Modifications temporaires: chcon la commande chcon modifie le contexte SELinux pour les fichiers. Cependant, les modifications apportées avec la commande chcon ne survivent pas à une nouvelle étiquette du système de fichiers ou à l'exécution de la commande / sbin / restorecon. La politique SELinux contrôle si les utilisateurs peuvent modifier le contexte SELinux pour un fichier donné. Lors de l'utilisation de chcon, les utilisateurs fournissent tout ou partie du contexte SELinux à modifier. Un type de fichier incorrect est une cause courante de refus d'accès par SELinux.

chcon est destiné aux modifications temporaires.

Voir https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html .

Vous voudrez certainement utiliser restorecon

sudo /sbin/restorecon -R -v /var/www/

Si cela échoue, publiez les refus AVC et fournissez plus d'informations sur ce que vous souhaitez faire. Il y aurait très probablement un booléen que vous auriez besoin de configurer.

Voir https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Troubleshooting-Fixing_Problems.html

Panthère
la source
Mais ça m'a guidé pour faire comme ça, je suis le guide RHCE.
rɑːdʒɑ