Điểm:0

Làm cách nào để đặt SELINUX HTTPD User Content RW?

lá cờ th

Tôi còn khá mới với SELINUX, tôi có một câu hỏi đơn giản, tôi biết có httpd_sys_rw_content_t cho /var/www/html và chỉ đọc httpd_user_content_t, nhưng nếu tôi muốn cho phép một số thư mục chỉ được RW cho người dùng đó, thì có httpd_user_rw_content_t ? Hoặc tôi nên sử dụng httpd_sys_rw_content_t bối cảnh cho người dùng cụ thể đó? Cảm ơn.

Điểm:0
lá cờ jo

Các loại trong SELinux không liên quan đến việc quản lý người dùng theo cách tôi nghĩ bạn tin rằng họ làm.

Loại SELinux cho httpd_user_content_rw_t không liên quan đến việc nó hoạt động với một người dùng cụ thể. Loại này thực sự dành cho các điều kiện theo đó người dùng có một số loại gốc tài liệu web.

Nói ví dụ trong apache nếu bạn sử dụng mod_userdir bạn có thể có http://website.com/~myuser như một liên kết hợp lệ.

Trong trường hợp này, các httpd_user_rw_content_t loại đề cập đến dữ liệu sẽ tồn tại trong đường dẫn cho thư mục người dùng đó.

Thay vì xem xét người dùng cụ thể nào có quyền truy cập, hãy nghĩ về ở đâu dữ liệu được lưu giữ. Trong trường hợp của bạn /var/www/html được coi là đường dẫn hệ thống cho gốc tài liệu và ở vị trí đó phải được gắn nhãn httpd_sys_content_rw_t.

Nếu bạn chỉ muốn tạo một thư mục rw cho một người dùng cụ thể (theo nghĩa unix u/g/o truyền thống) thì chỉ cần chown/chgrp/chmod khi cần thiết để có được các điều khiển truy cập mà bạn đang muốn áp dụng.

Benyamin Limanto avatar
lá cờ th
Uhm, tôi nghĩ bạn đã hiểu sai câu hỏi của mình, ví dụ như quyền đối với tệp của tôi là được, chỉ là tôi chỉ muốn cấp thư mục cụ thể đó cho fpm/bất kỳ quy trình dựa trên web nào có nhãn ngữ cảnh httpd để có thể chạm vào thư mục đó. Tôi có thể cho rằng mình có thể sử dụng `httpd_sys_rw_content_t` hay tôi nên sử dụng ngữ cảnh khác? như chúng ta biết rằng `httpd_user_rw_content_t` nói chung không tồn tại. Tôi cho rằng selinux được sử dụng để ngăn chặn một số điều khó chịu xảy ra, vì vậy tôi cần nó được bảo vệ kép, với quyền selinux và normal/acl.
Matthew Ife avatar
lá cờ jo
Nếu bạn muốn tệp này có thể ghi được bởi một số quy trình CGI bên ngoài xử lý loại SELinux sẽ cần quyền truy cập đọc/ghi vào loại mục tiêu. Bạn có thể chạy `sesearch -s source_type -t target_type -A` để xác định điều đó. Nhưng nói chung, các đường dẫn hệ thống vẫn phải được nhập là sys_content_rw_t.
Benyamin Limanto avatar
lá cờ th
Ồ, bất kỳ đường dẫn hệ thống chung nào được phép viết bằng cgi đều sử dụng `httpd_sys_content_rw_t`? Hừm. Ổn thỏa. Cảm ơn.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.