Luồng CentOS8 - ngữ cảnh bảo mật trong quyền của tệp là gì và nó có thể ảnh hưởng đến quyền truy cập như thế nào?

Tôi đã cài đặt một số ứng dụng lõi aspnet của mình trên Linux trước khi sử dụng CentOS8. Lần này tôi đã sử dụng CentOS8-Stream. Tôi không biết nếu điều đó góp phần vào vấn đề.

Sự thật:

1. Tôi không thể tạo chứng chỉ sử dụng apache. Mọi thứ vẫn như tôi đã làm trước đây và nó không hoạt động. Cuối cùng, tôi tìm thấy một số liên kết tối nghĩa trên internet được sử dụng ls -lrtZ /etc/pki/tls/certs để hiển thị bối cảnh bảo mật (Tôi thậm chí không biết nó tồn tại). Vì vậy, tôi chỉ đơn giản là cp các tệp chứng chỉ và Apache hiện đã ổn.

2. Tuy nhiên, ứng dụng aspnet của tôi không thành công với cố gắng viết một cơ sở dữ liệu chỉ đọc. tôi đã thử cp lừa nó nhưng không giúp được gì.. Cũng không có nhật ký ứng dụng nào xuất hiện

Tệp db:

-rw-rw-rw-. 1 gốc gốc unconfined_u:object_r:httpd_sys_content_t:s0

Tôi không hiểu làm thế nào điều này bối cảnh bảo mật có thể ghi đè thường xuyên quyền giống như chmod ?? Và phải làm gì để khắc phục? Ý tôi là làm thế nào để có thể có quyền rõ ràng hơn rwrwrw ?

Có gì mới không tính năng của SELinux? Tôi có thể tắt nó hoàn toàn không?

Lưu ý: 1 và 2 không liên quan - Tôi chỉ nghĩ rằng chúng có cùng nguyên nhân gốc rễ nhưng không có gì ở giữa chúng. Nếu tôi truy cập trực tiếp vào ứng dụng aspnet mà không có Apache - nó cũng gặp lỗi tương tự

SELinux là một hệ thống kiểm soát truy cập dựa trên vai trò có thể kiểm soát chi tiết những gì một quy trình được phép thực hiện. Ví dụ: một máy chủ web sẽ an toàn hơn khi nó không thể đọc được /etc/shadow ngay cả với tư cách là người dùng root, cũng như không khởi động trình bao web. Bối cảnh bảo mật là nền tảng cho hệ thống này và đã có từ đầu.

Bối cảnh tệp SELinux là một thứ riêng biệt với các quyền UNIX hoặc ACL mở rộng. Tất cả phải cho phép; vâng, selinux có thể từ chối khi quyền truy cập tệp cơ bản cho biết được phép.

Đọc RHEL 8 Sử dụng thủ công SELinux và Trang wiki CentOS trên SELinux. Sử dụng các công cụ khắc phục sự cố ở đó, đặc biệt sealert -a /var/log/audit/audit.log Xem xét bất kỳ sự từ chối nào trong khoảng thời gian xảy ra sự cố ứng dụng của bạn. Kiểm tra xem có bất kỳ Boolean nào tồn tại để chuyển đổi hành vi bạn muốn không.

Nhờ @John Mahowald mà tôi đã tìm được góc nhìn phù hợp để xem xét vấn đề.

Căn nguyên của nguyên nhân là tất cả các máy ảo trước đây của tôi đang sử dụng SELinux dễ dãi trong khi chế độ mới (GCP) đang chạy trong thi hành cách thức.

Vì vậy, nếu bạn vấp phải những hiệu ứng kỳ lạ mà bạn không thể giải thích được - hãy xem các liên kết của John. Nhưng sử dụng trạng thái ổn định lệnh đầu tiên để xem SELinux của bạn được đặt ở chế độ nào.

Tái bút Tôi quyết định để nó tự do vì việc thực thi đơn giản là không khả thi để duy trì. Tôi nghĩ rằng toàn bộ SELinux này là một con voi trắng. Nó phải được thay thế