Přihlášení | Registrace

napište » Zprávičky

dnes 02:44 | Komunita

V sobotu 9. srpna uplynulo přesně 20 let od oznámení projektu openSUSE na konferenci LinuxWorld v San Franciscu. Pokuď máte archivní nebo nějakým způsobem zajímavé fotky s openSUSE, můžete se o ně s námi podělit.

lkocman | Komentářů: 0

Debian 13 Trixie

9.8. 21:11 | Nová verze

Byl vydán Debian 13 s kódovým názvem Trixie. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 3

WLED – Wi-Fi ovládání RGB LED

9.8. 15:55 | Zajímavý software

WLED je open-source firmware pro ESP8266/ESP32, který umožňuje Wi-Fi ovládání adresovatelných LED pásků se stovkami efektů, synchronizací, audioreaktivním módem a Home-Assistant integrací. Je založen na Arduino frameworku.

Indiánský lotr | Komentářů: 0

Home Assistant 2025.8

8.8. 15:33 | Nová verze

Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.8.

Ladislav Hagara | Komentářů: 8

Byla vydána Mafia: Domovina

8.8. 14:22 | IT novinky

Herní studio Hangar 13 vydalo novou Mafii. Mafia: Domovina je zasazena do krutého sicilského podsvětí na začátku 20. století. Na ProtonDB je zatím bez záznamu.

Ladislav Hagara | Komentářů: 1

O2 má opět problémy

8.8. 13:22 | IT novinky

Operátor O2 má opět problémy. Jako omluvu za pondělní zhoršenou dostupnost služeb dal všem zákazníkům poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství.

Ladislav Hagara | Komentářů: 8

Společnost OpenAI představila GPT-5

8.8. 05:55 | IT novinky

Společnost OpenAI představila GPT-5 (YouTube).

Ladislav Hagara | Komentářů: 2

Visual Studio Code a VSCodium 1.103

8.8. 05:00 | Nová verze

Byla vydána (𝕏) červencová aktualizace aneb nová verze 1.103 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.103 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Trump vyzval nového šéfa Intelu, aby odstoupil

7.8. 17:33 | IT novinky

Americký prezident Donald Trump vyzval nového generálního ředitele firmy na výrobu čipů Intel, aby odstoupil. Prezident to zdůvodnil vazbami nového šéfa Lip-Bu Tana na čínské firmy.

Ladislav Hagara | Komentářů: 10

Ubuntu 24.04.3 LTS

7.8. 16:55 | Nová verze

Bylo vydáno Ubuntu 24.04.3 LTS, tj. třetí opravné vydání Ubuntu 24.04 LTS s kódovým názvem Noble Numbat. Přehled novinek a oprav na Discourse.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (46%)

5-15 (20%)

16-30 (4%)

31-50 (6%)

51-70 (3%)

71-100 (1%)

101-130 (1%)

>131 (18%)

Celkem 321 hlasů

Komentářů: 23, poslední 4.8. 13:01

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Selinux - proces zapisuje i tam, kam podle kontextů nesmí

Štítky: bezpečnost, PHP, proces, programování, SELinux

Dotaz: Selinux - proces zapisuje i tam, kam podle kontextů nesmí

22.12.2011 01:36 arkitekt
Selinux - proces zapisuje i tam, kam podle kontextů nesmí

Přečteno: 258×

Odpovědět | Admin

Ahoj. Prosím o radu ohledně problému s procesem, který běží v kontextu "system_u:system_r:httpd_sys_script_t:s0" (ověřeno přes ps auxZ). Pokud vytvořím skriptík v php s obsahem

$h = fopen("/var/www/web/default/html/test.txt", "a"); fwrite($h, "text"); fclose($h);

tak tento proces mi do tohoto souboru klidně zapíše, ačkoliv ten soubor má kontext "system_u:object_r:httpd_sys_content_t:s0" a podle sesearch k tomu nemá přístup.

... sesearch výstup dám někam do přílohy, Abíčko mi hlásí chybu čtení dat. ...

Selinux mám zapnutý a v enforced módu (setenforce 1). Proč mi tam ten proces může zapisovat? Kde je problém?

Nástroje: Začni sledovat (0) ?

Odpovědi

22.12.2011 01:43 arkitekt
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí

Odkaz na výstupu "sesearch --allow -t httpd_sys_content_t | grep "allow httpd_sys_script_t" jako obrázek: http://www.nahraj-obrazek.cz/?di=0132451448010. Portál abclinuxu mi to pořád nebere...

22.12.2011 02:00 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí

# sesearch -A -s httpd_sys_script_t -t httpd_sys_content_t -c file -p write
Found 1 semantic av rules:
   allow httpd_sys_script_t httpdcontent : file { ioctl read write create getattr setattr lock append unlink link rename entrypoint open } ;

httpd_sys_content_t má atribut httpdcontent.

22.12.2011 02:36 arkitekt
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí

Já si říkal, co tam ten httpdcontent asi dělá :). Toto je vlastně takové dědění "selinux kontextů" ne? Nedá se někde zobrazit co od čeho dědí, aby se to nemusel zvlášť dohledávat? Mimochodem proč se rozdělují httpd soubory na httpd_sys_content_t a httpd_sys_rw_content_t, když je to vlastně jedno?

22.12.2011 02:43 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí

Dědění ani ne. Spíš jenom jednoduché seskupování.

Seznam typů, které jsou označeny daným atributem: seinfo -x -ahttpdcontent

Seznam atributů daného typu: seinfo -x -thttpd_sys_content_t

Docela dobrý je klikací apol.

22.12.2011 23:59 Miroslav Grepl
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí

Ještě je vhodné v těchto případech použít sesearch následujícím způsobem

# sesearch -A -C -s httpd_sys_script_t -t httpd_sys_content_t -c file  -p write

Found 1 semantic av rules:

DT allow httpd_sys_script_t httpdcontent : file { ioctl read write create getattr setattr lock append unlink link rename entrypoint open } ; [ httpd_enable_cgi httpd_unified && ]