确保其它配置正确,还不能上传,就是SELinux的限制;
解决步骤:
getsebool -a | grep ftp //列出ftp的相关规则布尔值开启状态
setsebool -P allow_ftpd_anon_write on //允许匿名用户写入
ll -Z /var/ftp/ //查看ftp文件夹的具体属性,包括安全上下文
chcon -t public_content_rw_t /var/ftp/目录 //设置的FTP目录可以上传文件
查询布尔值是否开启:getsebool
| getsebool [-a] [布尔条款值] | -a:列出系统上所有布尔条款值设置为开启或关闭值; |
设置布尔值开启或关闭:setsebool
| setsebool [-P]布尔值=[0|1] | -p:直接将设置值写入配置文件,该设置数据将来会生效; |
安全上下文(security context):简单来讲,就认为其实是SELinux内必备的rwx就是了;
主体不能访问目标除了策略指定外,主体与目标的安全上下文必须一致才能够顺利访问;这个安全上下文类似文件系统的rwx;
主体程序必须通过SELinux策略内的规则放行后,才可以与目标资源进行安全上下文比较,比较失败则无法访问资源,成功则开始访问目标;
| 主体(进程) -->SELinux(分析策略规则) -->安全上下文-- | (no)-->AVC拒绝访问的信息说明; (yes)-->目标(object)数据访问;(最终能否访问,还要参考rwx的权限设置) |
安全上下文主要分为三个字段:(可以通过ls -Z 查看)
Identify:role:type
身份标识:
root:代表root账号身份;
system_u:系统程序方面的标识;
user_u:一般用户账号相关的身份;
角色:
Object_r:代表文件 或目录 等文件资源;
System_r:代表进程 或一般用户;
类型:
Type(类型字段)最为重要,基本上,一个主体进程能否读取到这个文件资源与类型字段有关;
类型字段在文件与进程的定义不太相同:
type:在文件资源(Object)上称为类型(type);
domain:在主体程序(Subject)中则称为域(domain);
重设SELinux上下文:chcon和restorecon
| chcon [-R] [-t type] [-u user] [-r role]文件
chcon [-R] --reference=范例文件文件 | -R:连同目录下的子文件同时修改; -t:后接安全上下文的类型字段,如 httpd_sys_content_t; -u:后接身份识别,如system_u; -r:后接角色,如system_r; --reference=范例文件:拿某个文件当范例来修改后续的文件类型; |
eg:将index.html类型改为httpd_sys_conten_t chcon -t httpd_sys_content_t /var/www/html/index.html
chcon是通过直接指定的方式来处理安全上下文的类型数据
| restorecon [-Rv]文件或目录 | -R:连同子目录一起修改; -v:将过程显示到屏幕; |
restorecon以默认的安全上下文改正;
chcon命令相关:http://man.linuxde.net/chcon
扫一扫
275
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
