pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » linux » selinux
Trace:
informatique:linux:selinux

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
Last revisionBoth sides next revision
informatique:linux:selinux [2010/10/12 17:21] – créée pteuinformatique:linux:selinux [2010/10/14 13:06] – public_content_* pteu
Line 51: Line 51:
 </code> </code>
  
-Pour changer le contexte de sécurité d'un fichier :+Pour modifier la base de contextes par défaut de SELinux : 
 +<code bash> 
 +semanage fcontext -a -t public_content_rw_t '/var/ftp/incoming(/.*)?' 
 +</code> 
 +On ajoute (-a) (ou on delete (-d)) le contexte (-t) public_content_rw_t au répertoire exact /var/ftp/incoming (qui va nous servir à déposer des fichiers en FTP pour les anonymes. 
 + 
 +Pour changer le contexte de sécurité d'un fichier mais pas la base (conseillé) :
 <code bash> <code bash>
 chcon -t <contexte> <fichier> chcon -t <contexte> <fichier>
Line 60: Line 66:
 restorecon -v <fichier> restorecon -v <fichier>
 </code> </code>
 +
 +Les contextes **public_content_t** et **public_content_rw_t** servent pour les fichiers qui doivent être accessibles depuis plusieurs services, respectivement en lecture seule ou écriture.
  
 Les booléens déterminent si certaines règles s'appliquent lors de l'exécution ; liste des booléens pré-créés pour httpd : Les booléens déterminent si certaines règles s'appliquent lors de l'exécution ; liste des booléens pré-créés pour httpd :
 <code bash> <code bash>
 getsebool -a | grep http getsebool -a | grep http
 +allow_httpd_anon_write --> off
 +allow_httpd_bugzilla_script_anon_write --> off
 +allow_httpd_cvs_script_anon_write --> off
 +allow_httpd_mod_auth_pam --> off
 +allow_httpd_nagios_script_anon_write --> off
 +allow_httpd_prewikka_script_anon_write --> off
 +allow_httpd_squid_script_anon_write --> off
 +allow_httpd_sys_script_anon_write --> off
 +httpd_builtin_scripting --> on
 +httpd_can_network_connect --> off
 +httpd_can_network_connect_db --> off
 +httpd_can_network_relay --> off
 +httpd_can_sendmail --> on
 +httpd_disable_trans --> off
 +httpd_enable_cgi --> on
 +httpd_enable_ftp_server --> off
 +httpd_enable_homedirs --> on
 +httpd_rotatelogs_disable_trans --> off
 +httpd_ssi_exec --> off
 +httpd_suexec_disable_trans --> off
 +httpd_tty_comm --> on
 +httpd_unified --> on
 +httpd_use_cifs --> off
 +httpd_use_nfs --> off
 </code> </code>
  
Line 69: Line 101:
 <code bash> <code bash>
 setsebool -P httpd_enable_cgi 0 setsebool -P httpd_enable_cgi 0
 +</code>
  
 +De la doc...
 +<code bash>
 man httpd_selinux man httpd_selinux
 man -k selinux man -k selinux
informatique/linux/selinux.txt · Last modified: 2013/10/14 20:44 by 127.0.0.1