1
SELinux Zugriff auf Datei
Hallo zusammen,
seit kurzem beschäftige ich mich mit SELinux und den dazugehörigen Berechtigungen und bin dabei auf ein Problem gestossen.
Ich möchte die icinga2.cmd Datei über den httpd Prozess öffnen und hineinschreiben. Den Kontext auf die Datei habe ich gesetzt und das ist die Ausgabe des "ls -Z /var/run/icinga2/cmd/icinga2.cmd" Befehls:
Mit diesem Berechtigungen konnte die Datei nicht bearbeitet werden, deshalb habe ich eine Policy für fifo Dateien erstellt:
Mit dieser Policy konnte ich die Datei bearbeiten, doch das Problem ist, dass so die Gesamten fifo Dateien auf dem System von httpd benutzt werden können und ich das verhindern möchte.
Mein Frage wäre jetzt, wie das mit dem Kontext / Label oder der Policy realisiert werden kann, dass nur die icinga2.cmd Datei gelesen und beschrieben werden kann.
Gruss
EinLehring
seit kurzem beschäftige ich mich mit SELinux und den dazugehörigen Berechtigungen und bin dabei auf ein Problem gestossen.
Ich möchte die icinga2.cmd Datei über den httpd Prozess öffnen und hineinschreiben. Den Kontext auf die Datei habe ich gesetzt und das ist die Ausgabe des "ls -Z /var/run/icinga2/cmd/icinga2.cmd" Befehls:
prw-rw----. icinga icingacmd system_u:object_r:httpd_user_rw_content_t:s0 /var/run/icinga2/cmd/icinga2.cmdMit diesem Berechtigungen konnte die Datei nicht bearbeitet werden, deshalb habe ich eine Policy für fifo Dateien erstellt:
allow httpd_t httpd_user_rw_content_t:fifo_file { getattr open write };Mit dieser Policy konnte ich die Datei bearbeiten, doch das Problem ist, dass so die Gesamten fifo Dateien auf dem System von httpd benutzt werden können und ich das verhindern möchte.
Mein Frage wäre jetzt, wie das mit dem Kontext / Label oder der Policy realisiert werden kann, dass nur die icinga2.cmd Datei gelesen und beschrieben werden kann.
Gruss
EinLehring
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 354959
Url: https://administrator.de/contentid/354959
Printed on: April 25, 2024 at 16:04 o'clock
1 Comment
Hallo,
um die Datei zu oeffnen brauchst Du das Ausfuehrenbit.
Die Berechtigung ist hier 660 also nur lesen und schreiben, nicht jedoch ausfuehren.
Die Berechtigung sollte 750 lauten.
Gruss
um die Datei zu oeffnen brauchst Du das Ausfuehrenbit.
Die Berechtigung ist hier 660 also nur lesen und schreiben, nicht jedoch ausfuehren.
Die Berechtigung sollte 750 lauten.
Gruss
