Sou muito novo no SELINUX, tenho uma pergunta simples, sei que existem httpd_sys_rw_content_tpara /var/www/html e somente leitura httpd_user_content_t, mas se eu quiser permitir que alguma pasta seja RW apenas para esse usuário, existe alguma httpd_user_rw_content_t? Ou devo usar httpd_sys_rw_content_to contexto para esse usuário específico?
Responder1
Os tipos no SELinux não se relacionam com o gerenciamento de usuários da maneira que você acredita.
O tipo SELinux httpd_user_content_rw_tnão tem relação com o fato de funcionar contra um usuário específico. Esse tipo é realmente destinado a condições em que um usuário possui algum tipo de raiz de documento da web.
Digamos por exemplo no apache se você usar mod_userdirvocê pode terhttp://website.com/~myusercomo um link válido.
Nesse caso, o httpd_user_rw_content_ttipo refere-se aos dados que existiriam no caminho desse diretório de usuário.
Em vez de considerar qual usuário específico tem acesso, pense emondeos dados são mantidos. No seu caso /var/www/htmlé considerado o caminho do sistema para a raiz do documento e nessa posição deve estar rotulado httpd_sys_content_rw_t.
Se você quiser criar uma pasta rw apenas para um usuário específico (no sentido unix u/g/o tradicional), basta chown/chgrp/chmod conforme necessário para obter os controles de acesso que deseja aplicar.