SELinux Zugriff auf Datei
Hallo zusammen,
seit kurzem beschäftige ich mich mit SELinux und den dazugehörigen Berechtigungen und bin dabei auf ein Problem gestossen.
Ich möchte die icinga2.cmd Datei über den httpd Prozess öffnen und hineinschreiben. Den Kontext auf die Datei habe ich gesetzt und das ist die Ausgabe des "ls -Z /var/run/icinga2/cmd/icinga2.cmd" Befehls:
Mit diesem Berechtigungen konnte die Datei nicht bearbeitet werden, deshalb habe ich eine Policy für fifo Dateien erstellt:
Mit dieser Policy konnte ich die Datei bearbeiten, doch das Problem ist, dass so die Gesamten fifo Dateien auf dem System von httpd benutzt werden können und ich das verhindern möchte.
Mein Frage wäre jetzt, wie das mit dem Kontext / Label oder der Policy realisiert werden kann, dass nur die icinga2.cmd Datei gelesen und beschrieben werden kann.
Gruss
EinLehring
seit kurzem beschäftige ich mich mit SELinux und den dazugehörigen Berechtigungen und bin dabei auf ein Problem gestossen.
Ich möchte die icinga2.cmd Datei über den httpd Prozess öffnen und hineinschreiben. Den Kontext auf die Datei habe ich gesetzt und das ist die Ausgabe des "ls -Z /var/run/icinga2/cmd/icinga2.cmd" Befehls:
prw-rw----. icinga icingacmd system_u:object_r:httpd_user_rw_content_t:s0 /var/run/icinga2/cmd/icinga2.cmdMit diesem Berechtigungen konnte die Datei nicht bearbeitet werden, deshalb habe ich eine Policy für fifo Dateien erstellt:
allow httpd_t httpd_user_rw_content_t:fifo_file { getattr open write };Mit dieser Policy konnte ich die Datei bearbeiten, doch das Problem ist, dass so die Gesamten fifo Dateien auf dem System von httpd benutzt werden können und ich das verhindern möchte.
Mein Frage wäre jetzt, wie das mit dem Kontext / Label oder der Policy realisiert werden kann, dass nur die icinga2.cmd Datei gelesen und beschrieben werden kann.
Gruss
EinLehring
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 354959
Url: https://administrator.de/forum/selinux-zugriff-auf-datei-354959.html
Ausgedruckt am: 21.05.2025 um 14:05 Uhr
1 Kommentar
Hallo,
um die Datei zu oeffnen brauchst Du das Ausfuehrenbit.
Die Berechtigung ist hier 660 also nur lesen und schreiben, nicht jedoch ausfuehren.
Die Berechtigung sollte 750 lauten.
Gruss
um die Datei zu oeffnen brauchst Du das Ausfuehrenbit.
Die Berechtigung ist hier 660 also nur lesen und schreiben, nicht jedoch ausfuehren.
Die Berechtigung sollte 750 lauten.
Gruss
