Portál AbcLinuxu, 10. května 2025 12:10

Dotaz: Selinux - proces zapisuje i tam, kam podle kontextů nesmí

22.12.2011 01:36 arkitekt
Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Přečteno: 255×
Odpovědět | Admin
Ahoj. Prosím o radu ohledně problému s procesem, který běží v kontextu "system_u:system_r:httpd_sys_script_t:s0" (ověřeno přes ps auxZ). Pokud vytvořím skriptík v php s obsahem 
$h = fopen("/var/www/web/default/html/test.txt", "a"); fwrite($h, "text"); fclose($h);
tak tento proces mi do tohoto souboru klidně zapíše, ačkoliv ten soubor má kontext "system_u:object_r:httpd_sys_content_t:s0" a podle sesearch k tomu nemá přístup. 
... sesearch výstup dám někam do přílohy, Abíčko mi hlásí chybu čtení dat. ...
Selinux mám zapnutý a v enforced módu (setenforce 1). Proč mi tam ten proces může zapisovat? Kde je problém?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

22.12.2011 01:43 arkitekt
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Odpovědět | | Sbalit | Link | Blokovat | Admin
Odkaz na výstupu "sesearch --allow -t httpd_sys_content_t | grep "allow httpd_sys_script_t" jako obrázek: http://www.nahraj-obrazek.cz/?di=0132451448010. Portál abclinuxu mi to pořád nebere...
michich avatar 22.12.2011 02:00 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Odpovědět | | Sbalit | Link | Blokovat | Admin 
# sesearch -A -s httpd_sys_script_t -t httpd_sys_content_t -c file -p write
Found 1 semantic av rules:
   allow httpd_sys_script_t httpdcontent : file { ioctl read write create getattr setattr lock append unlink link rename entrypoint open } ;
httpd_sys_content_t má atribut httpdcontent.
22.12.2011 02:36 arkitekt
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Já si říkal, co tam ten httpdcontent asi dělá :). Toto je vlastně takové dědění "selinux kontextů" ne? Nedá se někde zobrazit co od čeho dědí, aby se to nemusel zvlášť dohledávat? Mimochodem proč se rozdělují httpd soubory na httpd_sys_content_t a httpd_sys_rw_content_t, když je to vlastně jedno?
michich avatar 22.12.2011 02:43 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Dědění ani ne. Spíš jenom jednoduché seskupování.

Seznam typů, které jsou označeny daným atributem: seinfo -x -ahttpdcontent

Seznam atributů daného typu: seinfo -x -thttpd_sys_content_t

Docela dobrý je klikací apol.
22.12.2011 23:59 Miroslav Grepl
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Ještě je vhodné v těchto případech použít sesearch následujícím způsobem

# sesearch -A -C -s httpd_sys_script_t -t httpd_sys_content_t -c file -p write

Found 1 semantic av rules:

DT allow httpd_sys_script_t httpdcontent : file { ioctl read write create getattr setattr lock append unlink link rename entrypoint open } ; [ httpd_enable_cgi httpd_unified && ]
michich avatar 22.12.2011 02:29 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jak máš nastavený boolean httpd_unified?
22.12.2011 02:37 arkitekt
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
Na "on".
22.12.2011 02:43 arkitekt
Rozbalit Rozbalit vše Re: Selinux - proces zapisuje i tam, kam podle kontextů nesmí
díky.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.