Ich bin ziemlich neu bei SELINUX und habe eine einfache Frage. Ich weiß, dass es httpd_sys_rw_content_tfür /var/www/html schreibgeschützte Berechtigungen gibt httpd_user_content_t, aber wenn ich einigen Ordnern nur für diesen Benutzer schreibgeschützte Berechtigungen erlauben möchte, gibt es dann welche ? Oder sollte ich den Kontext für diesen bestimmten Benutzer httpd_user_rw_content_tverwenden ?httpd_sys_rw_content_t
Antwort1
Die Typen in SELinux beziehen sich nicht in der von Ihnen angenommenen Weise auf die Benutzerverwaltung.
Der SELinux-Typ httpd_user_content_rw_that keinen Bezug dazu, ob er für einen bestimmten Benutzer funktioniert. Dieser Typ ist eigentlich für Bedingungen gedacht, bei denen ein Benutzer über eine Art Webdokument-Root verfügt.
Nehmen wir zum Beispiel Apache, wenn Sie verwenden, mod_userdirkönnen Sie habenhttp://website.com/~meinBenutzerals gültiger Link.
In diesem Fall httpd_user_rw_content_tbezieht sich der Typ auf Daten, die im Pfad für dieses Benutzerverzeichnis vorhanden wären.
Anstatt darüber nachzudenken, welcher bestimmte Benutzer Zugriff hat, denken Sie darüber nachWodie Daten bleiben erhalten. In Ihrem Fall /var/www/htmlwird der Systempfad für das Dokumentstammverzeichnis berücksichtigt und an dieser Stelle sollte die Bezeichnung stehen httpd_sys_content_rw_t.
Wenn Sie einen Ordner schreibgeschützt (RW) nur für einen bestimmten Benutzer erstellen möchten (im herkömmlichen Unix-Sinne u/g/o), verwenden Sie bei Bedarf einfach chown/chgrp/chmod, um die Zugriffskontrollen zu erhalten, die Sie anwenden möchten.