Score:0

จะตั้งค่า SELINUX HTTPD User Content RW ได้อย่างไร?

ธง th

ฉันค่อนข้างใหม่กับ SELINUX ฉันมีคำถามง่ายๆ ฉันรู้ว่ามี httpd_sys_rw_content_t สำหรับ /var/www/html และอ่านอย่างเดียว httpd_user_content_tแต่ถ้าฉันต้องการอนุญาตให้บางโฟลเดอร์เป็น RW สำหรับผู้ใช้รายนั้นเท่านั้น มีไหม httpd_user_rw_content_t ? หรือฉันควรใช้ httpd_sys_rw_content_t บริบทสำหรับผู้ใช้รายนั้นหรือไม่ ขอบคุณ.

Score:0
ธง jo

ประเภทใน SELinux ไม่เกี่ยวข้องกับการจัดการผู้ใช้ในลักษณะที่ฉันคิดว่าคุณเชื่อว่าเป็นเช่นนั้น

ประเภท SELinux สำหรับ httpd_user_content_rw_t ไม่มีความเกี่ยวข้องกับการทำงานกับผู้ใช้รายใดรายหนึ่ง ประเภทนี้มีไว้สำหรับเงื่อนไขที่ผู้ใช้มีรูทเอกสารเว็บบางประเภท

พูดเช่นใน apache ถ้าคุณใช้ mod_userdir คุณสามารถมี http://website.com/~myuser เป็นลิงค์ที่ถูกต้อง

ในกรณีนี้ httpd_user_rw_content_t ประเภทหมายถึงข้อมูลที่จะอยู่ในเส้นทางสำหรับผู้ใช้นั้น dir

แทนที่จะพิจารณาว่าผู้ใช้รายใดมีสิทธิ์เข้าถึง ลองนึกถึง ที่ไหน ข้อมูลจะถูกเก็บไว้ ในกรณีของคุณ /var/www/html ถือเป็นพาธของระบบสำหรับ root ของเอกสาร และในตำแหน่งนั้นควรถูกเลเบล httpd_sys_content_rw_t.

หากคุณต้องการสร้างโฟลเดอร์ rw สำหรับผู้ใช้เฉพาะ (ในความหมายแบบยูนิกซ์ u/g/o) ให้ chown/chgrp/chmod เท่าที่จำเป็นเพื่อรับการควบคุมการเข้าถึงที่คุณต้องการใช้

Benyamin Limanto avatar
th flag
อืม ฉันคิดว่าคุณเข้าใจคำถามผิด ยกตัวอย่าง การอนุญาตไฟล์ของฉันไม่เป็นไร ฉันแค่ต้องการให้เฉพาะโฟลเดอร์นั้นกับ fpm/กระบวนการบนเว็บใดๆ ที่ติดป้ายว่าบริบท httpd เพื่อให้สามารถสัมผัสโฟลเดอร์นั้นได้ ฉันจะถือว่าฉันสามารถใช้ `httpd_sys_rw_content_t` หรือฉันควรใช้บริบทอื่นได้หรือไม่ อย่างที่เราทราบกันดีว่า `httpd_user_rw_content_t` ไม่มีอยู่ทั่วไป ฉันถือว่า selinux ใช้เพื่อป้องกันไม่ให้สิ่งที่น่ารังเกียจเกิดขึ้น ดังนั้นฉันจึงต้องได้รับการปกป้องสองครั้งด้วยสิทธิ์ selinux และ normal/acl
Matthew Ife avatar
jo flag
หากคุณต้องการให้ไฟล์นี้สามารถเขียนได้โดยกระบวนการ CGI ภายนอกที่ประมวลผลประเภท SELinux จะต้องมีสิทธิ์อ่าน/เขียนไปยังประเภทเป้าหมาย คุณสามารถเรียกใช้ `sesearch -s source_type -t target_type -A` เพื่อระบุสิ่งนั้น แต่โดยทั่วไปแล้ว ควรพิมพ์พาธของระบบเป็น sys_content_rw_t
Benyamin Limanto avatar
th flag
โอ้ เส้นทางระบบทั่วไปใด ๆ ที่อนุญาตให้เขียนโดย cgi ใช้ `httpd_sys_content_rw_t` แล้ว? อืม. ไม่เป็นอะไร. ขอบคุณ.

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา