Explicação do comando chcon

16

Alguém poderia explicar este comando:

chcon -R --reference=/var/www/html/ /var/www/html/install

Eu li a explicação dada no livro; mas não consigo entender claramente. Por favor, use terminologia simples enquanto explica o comando.

command-line chcon rɑːdʒɑ
fonte

Respostas:

9

Você está neste caso:

chcon -R --reference=RFILE FILE

Onde:

  • chcon- alterar o contexto de segurança do arquivo; você pode verificar qualquer contexto de segurança de um arquivo com ls -Z.

  • -R - operar em arquivos e diretórios recursivamente.

  • --reference=RFILE - use o contexto de segurança do RFILE em vez de especificar um valor CONTEXT.

Portanto, o comando acima altera recursivamente o contexto de segurança de cada arquivo /var/www/html/installpara aqueles de /var/www/html.

Digite o info coreutils 'chcon invocation'terminal e você terá acesso ao manual completo.

Este manual pode ajudar você a entender tudo sobre o Security-Enhanced Linux (SELinux).

Radu Rădeanu
fonte
Obrigado por sua resposta, você quis dizer que o contexto de segurança de / var / www / html será aplicado a todos os arquivos colocados no diretório / var / www / html / install.
58513
@Jai Está correto #
Radu Rădeanu
você poderia explicar mais sobre o "contexto de segurança". Obrigado.
58513
2
Eu acho que esta página pode ajuda- en.wikipedia.org/wiki/Security-Enhanced_Linux entender SELinux e seu "contexto de segurança"
Emmanuel
11
@Jai, você pode verificar qualquer contexto de segurança de um arquivo comls -Z
Radu Rădeanu
5

Se você estiver usando o selinux , sugiro que você leia a documentação do Fedora.

Vejo :

http://fedoraproject.org/wiki/SELinux_FAQ

https://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/

Esse segundo link é para o Fedora 13, mas, na IMO, continua sendo o documento mais atualizado do selinux.

Uma simplificação excessiva do selinux é considerá-lo uma extensão das permissões de arquivo (acima e além do owner: group: other). Portanto, todo arquivo tem um contexto. Se um arquivo é usado por um servidor http, não há razão para que um servidor ftp esteja acessando. Você pode permitir que um servidor ftp acesse os arquivos ativando um booleano.

O problema que você terá, o chcon não sobrevive a uma mudança de nome ou restauração.

5.7.1 Alterações temporárias: chcon O comando chcon altera o contexto do SELinux para arquivos. No entanto, as alterações feitas com o comando chcon não sobrevivem a uma nova identificação do sistema de arquivos ou à execução do comando / sbin / restorecon. A política do SELinux controla se os usuários podem modificar o contexto do SELinux para qualquer arquivo. Ao usar o chcon, os usuários fornecem todo ou parte do contexto do SELinux para mudar. Um tipo de arquivo incorreto é uma causa comum de negação de acesso ao SELinux.

O chcon é destinado a alterações temporárias.

Veja https://docs.fedoraproject.org/pt-BR/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html .

Você quase certamente vai querer usar o restorecon

sudo /sbin/restorecon -R -v /var/www/

Se isso falhar, publique as negações avc e forneça mais informações sobre o que você deseja fazer. Provavelmente, haveria um booleano que você precisaria configurar.

Veja https://docs.fedoraproject.org/pt-BR/Fedora/13/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Trou Troubleshooting- Fixing_Problems.html

Pantera
fonte
Mas ele orientou a fazer assim, estou seguindo o guia do RHCE.
58513 rjd