Puncte:0

Cum se setează SELINUX HTTPD User Content RW?

drapel th

Sunt destul de nou în SELINUX, am o întrebare simplă, știu că există httpd_sys_rw_content_t pentru /var/www/html și numai pentru citire httpd_user_content_t, dar dacă vreau să permit unui folder să fie RW numai pentru acel utilizator, există vreunul httpd_user_rw_content_t ? Sau ar trebui să folosesc httpd_sys_rw_content_t context pentru acel utilizator anume? Mulțumiri.

Puncte:0
drapel jo

Tipurile din SELinux nu au legătură cu gestionarea utilizatorilor în modul în care cred că credeți că o fac.

Tipul SELinux pentru httpd_user_content_rw_t nu are nicio legătură cu faptul că acesta funcționează împotriva unui anumit utilizator. Acest tip este într-adevăr destinat condițiilor în care un utilizator are o rădăcină de document web de un fel.

Spuneți, de exemplu, în apache dacă utilizați mod_userdir poti avea http://website.com/~myuser ca link valid.

În acest caz, httpd_user_rw_content_t tipul se referă la datele care ar exista în calea pentru acel director de utilizator.

În loc să vă gândiți la ce utilizator anume are acces, gândiți-vă Unde datele sunt păstrate. In cazul tau /var/www/html este considerată calea de sistem pentru rădăcina documentului și în acea poziție ar trebui să fie etichetată httpd_sys_content_rw_t.

Dacă doriți să faceți un folder rw doar pentru un anumit utilizator (în sensul tradițional unix u/g/o), atunci doar chown/chgrp/chmod, după cum este necesar, pentru a obține controalele de acces pe care doriți să le aplicați.

Benyamin Limanto avatar
drapel th
Uhm, cred că ai înțeles greșit întrebarea mea, de exemplu, permisiunea mea de fișier este în regulă, doar că vreau să dau doar acel folder special fpm/orice proces bazat pe web care a etichetat contextul httpd pentru a putea atinge acel folder. Pot să presupun că pot folosi `httpd_sys_rw_content_t` sau ar trebui să folosesc alt context? deoarece știm că `httpd_user_rw_content_t` nu există în general. Presupun că selinux folosea pentru a preveni ceva urât să se întâmple, așa că am nevoie să fie dublu protejat, cu selinux și permisiunea normal/acl.
Matthew Ife avatar
drapel jo
Dacă doriți ca acest fișier să poată fi scris de către un proces CGI extern care procesează tipul SELinux, va avea nevoie de acces de citire/scriere la tipul țintă. Puteți rula `sesearch -s source_type -t target_type -A` pentru a identifica asta. Dar, în general, căile de sistem ar trebui să fie introduse ca sys_content_rw_t.
Benyamin Limanto avatar
drapel th
Oh, orice cale generală de sistem care a permis să fie scrisă de cgi folosește `httpd_sys_content_rw_t` atunci? Hmmm. În regulă. Mulțumiri.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.