Linux command chcon 修改文件安全上下文

已于 2022-06-24 00:40:44 修改
阅读量547 收藏
点赞数
分类专栏: command 文章标签: linux
于 2020-07-16 11:31:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixihahalelehehe/article/details/105745535
版权

Linux command chcon 修改文件安全上下文

tags: 文件管理

文章目录

1. 简介

chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。使用–reference选项时,把指定文件的安全环境设置为与参考文件相同。chcon命令位于/usr/bin/chcon。

2. 语法

chcon [选项]... 环境 文件...
chcon [选项]... [-u 用户] [-r 角色] [-l 范围] [-t 类型] 文件...
chcon [选项]... --reference=参考文件 文件...

3. 选项

-h, --no-dereference:影响符号连接而非引用的文件。
    --reference=参考文件:使用指定参考文件的安全环境,而非指定值。
-R, --recursive:递归处理所有的文件及子目录。
-v, --verbose:为处理的所有文件显示诊断信息。
-u, --user=用户:设置指定用户的目标安全环境。
-r, --role=角色:设置指定角色的目标安全环境。
-t, --type=类型:设置指定类型的目标安全环境。
-l, --range=范围:设置指定范围的目标安全环境。
以下选项是在指定了-R选项时被用于设置如何穿越目录结构体系。如果您指定了多于一个选项,那么只有最后一个会生效。

-H:如果命令行参数是一个通到目录的符号链接,则遍历符号链接。
-L:遍历每一个遇到的通到目录的符号链接。
-P:不遍历任何符号链接(默认)。
--help:显示此帮助信息并退出。
--version:显示版本信息并退出。

4. 实例

如果你想把这个ftp共享给匿名用户的话,需要开启以下:

chcon -R -t public_content_t /var/ftp

如果你想让你设置的FTP目录可以上传文件的话,SELINUX需要设置:

chcon -t public_content_rw_t /var/ftp/incoming

允许用户HHTP访问其家目录,该设定限仅于用户的家目录主页:

setsebool -P httpd_enable_homedirs 1
chcon -R -t httpd_sys_content_t ~user/public_html

如果你希望将samba目录共享给其他用户,你需要设置:

chcon -t samba_share_t /directory

共享rsync目录时:

chcon -t public_content_t /directories
Linux:selinux安全上下文
Le_Anny的博客
05-16 2561
安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),”域”和”域类型”意思都一样,即都是安全上下文中的“TYPE”。 SELinux对系统中的许多命令做了修改,通过添加一个-Z选项显示客体和主体的安全上下文。 1) 系统根据PAM子系统中的pam_selinux.so模块设定...
linux 命令大全(zz)
&Applex Studio
03-13 1609
cat cdchmod chowncp cut名称:cat使用权限:所有使用者使用方式:cat [-AbeEnstTuv] [--help] [--version] fileName说明:把档案串连接后传到基本输出(萤幕或加 > fileName 到另一个档案)参数:-n 或 --number 由 1 开始对所有输出的行数编号-b 或 --number-nonblank 和 -n 相似,只不过对于
服务器修改文件命令,使用linuxchcon命令修改文件安全上下文
weixin_42525632的博客
08-06 553
使用linuxchcon命令修改文件安全上下文发布时间:2020-07-20 09:17:22来源:亿速云阅读:107作者:清晨栏目:服务器小编给大家分享一下使用linuxchcon命令修改文件安全上下文,希望大家阅读完这篇文章后大所收获,下面让我们一起去探讨吧!chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件安全环境变更至指定环境。语法格...
chcon 更改安全上下文 临时更改,永久更改
dreamer_xixixi的博客
05-17 9723
 chcon 改变上下文#change context 1.如何更改安全上下文  1>临时更改  chcon -t 安全上下文  文件  chcon -t public_content_t /publicftp   -R   目录  实验1:  1.rm -fr /var/ftp/* 2.touch /mnt/westos  3.mv /mnt/westos /var/ftp/ ...
selinux的配置,修改安全上下文,进程与进程之间的安全上下文,查看sealert警告提示修改功能项
l578900的博客
09-23 1144
三、建立一个httpd服务的主页文件,并且尝试访问 启动selinux服务,临时启动:setenforce 1立即启动setenforcing 0立即关闭 用root账户在自己的家目录建立主页文件index.html ,然后mv到/var/www/html目录中,查看其结果为:无法访问 直接进入 /var/www/html 建立主页文件,并尝试访问,访问成功 4、通过2、3步可以看出文件安全上下文不同,修改主页文件上下文标签使其可以正常访问。 ①可以利用restorecon恢复sel
文件当前的 SELinux 上下文为 cephfs_t,而 Ansible 期望的上下文为 usr_t怎么解决
09-25
当你在使用Ansible对文件系统(如cephfs)进行操作时,如果文件的SELinux上下文(Security Enhanced Linux Context)是`cephfs_t`,而你希望它们处于`usr_t`,你可以通过以下几个步骤来调整: 1. **理解SELinux策略...
Linux文件系统安全性深度解析】:链接的风险与安全防护
![file command in linux]...Linux文件系统采用一种分层的目录结构,每个目录和子目录都可以包含文件、链接、设备文件、管道文件和套接字。这一切始于根目录(`/`),它是所
深入理解Linux文件权限:安全策略与最佳实践
![UNIX and Linux System Administration ...文章首先介绍了Linux文件系统的结构、权限、所有权和链接类型,接着详细阐述了文件权限模型,包括用户类别和特殊权限位。第三章关注文件权限管理命令,如chmod、chown
电子书籍-Linux命令大全搜索工具
03-26
55. **chcon (修改对象(文件)的安全上下文)** - **用途**:更改文件安全标签。 - **应用场景**:安全管理。 56. **chfn (用来改变finger命令显示的信息)** - **用途**:更改用户信息。 - **应用场景**:...
FTP环境搭建及使用实例–linux系统(使用shell脚本或者使用配置文件
杰儿__er 的博客
09-22 1861
linux上使用,仅需要 安装ftp包:yum install -y ftp客户端访问的前提是,ftp服务端需要配置完毕,配置完毕以后 客户端可以直接访问的。 注:ftp服务端只需要把vsftpd服务启动,客户端就可以访问了哦。ftp配置方法见最下面“ftp服务端配置–linux”链接:https://pan.baidu.com/s/1yDal6NTDcPOpNmWA8IebOA?pwd=jar4 提取码:jar4链接:https://pan.baidu.com/s/1EW4ZEwBcT34p2rOYzvE
SELinux安全上下文修改和设置(chcon和restorecon命令)
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 1356
安全上下文修改是我们必须掌握的,其实也并不难,主要是通过两个命令来实现的。 chcon 命令格式如下: [root@localhost ~]# chcon [选项] 文件或目录 选项: -R: 递归,当前目录和目录下的所有子文件同时设置; -t: 修改安全上下文的类型字段,最常用; -u: 修改安全上下文的身份字段; -r: 修改安全上下文的角色字段; 举个例子: [roo...
selinux基本概念 | 开启selinux策略 | 安全上下文的临时修改 | 安全上下文的永久修改 | 如何修复selinux | selinux对服务功能的影响 | 系统自动排错
Minz
05-11 2507
一,Security-Enhanced  LinuxSELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制,在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限标签(控制哪些用户对哪些文件具有哪些访问权,SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 ...
chcon
weixin_33895016的博客
08-07 152
chcon命令SELinuxchcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件安全环境变更至指定环境。使用--reference选项时,把指定文件安全环境设置为与参考文件相同。chcon命令位于/usr/bin/chcon。语法chcon[选项]...环境文件... chcon[选项]...[-u用户][-r角...
selinux --chcon命令
weixin_34049948的博客
08-03 256
chcon命令:修改对象(文件)的安全上下文。比如:用户:角色:类型:安全级别。 命令格式:    Chcon [OPTIONS…] CONTEXT FILES…..    Chcon [OPTIONS…] –reference=PEF_FILES FILES… 说明:     CONTEXT 为要设置的安全上下文     FILES 对象(文件)     --reference 参照...
chcon可实现对文件的SEAndroid安全标签的修改
weixin_34208283的博客
10-16 287
chcon可实现对文件的SEAndroid安全标签的修改 参考使用如下: chcon -u u system/app/ chcon -r object_r system/app/ chcon -t system_file system/app/ chcon -u u system/priv-app/ chcon -r object_r system/priv-app/ chcon -t syste...
SELinux系列(七)——SELinux安全上下文修改和设置(chcon和restorecon命令)
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2372
安全上下文修改是我们必须掌握的,其实也并不难,主要是通过两个命令来实现的。 chcon 命令格式如下: [root@localhost ~]# chcon [选项] 文件或目录 选项: -R: 递归,当前目录和目录下的所有子文件同时设置; -t: 修改安全上下文的类型字段,最常用; -u: 修改安全上下文的身份字段; -r: 修改安全上下文的角色字段; 举个例子: 在我们的apache web服务器 建立一个网页文件,并写入“test page!.
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2266
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文,SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root root system_.
Android下使用chcon修改文件安全上下文(file_contexts)
热门推荐
Android开发
01-01 1万+
在init.rc中运行某一可执行程序时,需要修改selinux规则,否则会提示要为该服务添加selinux角色。其中的一步是在file_contexts添加节点或文件安全 安全上下文,如device/qcom/sepolicy/common/file_contexts /dev/coresight-tmc-etr-stream u:object_r:q
自己控制文件安全上下文
wjyph的博客
07-09 1403
我们已经知道进程按照特定的SELinux域来执行的,域被SELinux用来检查进程针对某一上下文文件的权限。我们需要知道如何设置文件上下文,知道如何让这可管理。由此以来,如果当出现因为错误的上下文而权限拒绝。我们需要纠正这个问题。 SELinux中的文件(目录)的上下文通过它的扩展属性来设置的,但是不得不手动为所有文件设置上下文,这需要包含所有可能的文件路径和相关的SELinux上下文的数据
linux安全上下文
最新发布
03-20
### Linux 安全上下文与 SELinux 访问控制机制 #### 什么是安全上下文? 在 Linux 中,特别是启用了 SELinux 的系统中,**安全上下文(Security Context)** 是指附加到进程、文件或其他资源上的元数据。这些元数据描述了对象的访问权限以及其所属的安全类别[^1]。 对于文件来说,可以通过 `ls -Z` 命令查看其安全上下文信息。例如: ```bash $ ls -Z /var/www/html/index.html unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/index.html ``` 上述输出表示 `/var/www/html/index.html` 文件具有以下安全上下文属性: - **User**: unconfined_u (用户身份) - **Role**: object_r (角色) - **Type**: httpd_sys_content_t (类型) - **Level/MCS**: s0 (多级安全级别) #### SELinux 访问控制机制详解 SELinux 实现了一种更严格的访问控制模型,称为强制访问控制(MAC),补充了传统的自主访问控制(DAC)。以下是 SELinux 主要的访问控制机制组成部分: ##### 1. 类型强制(Type Enforcement, TE) TE 是 SELinux 的核心部分之一,通过定义域(Domain)和类型的规则来约束主体(Subject)对客体(Object)的操作。只有当主体的域允许操作特定类型的客体时,访问才会被批准[^5]。 例如,在 Web 服务器环境中,HTTPD 进程通常运行在一个名为 `httpd_t` 的域下。为了确保 HTTPD 只能读取指定目录下的文件,管理员会设置相应的文件类型为 `httpd_sys_content_t` 或其他合适的类型[^3]。 ##### 2. 基于角色的访问控制(RBAC) 除了 TE 外,SELinux 还支持 RBAC 模型。在这种模式下,用户被分配给不同角色,而每个角色则关联一组可用的域集合。这使得管理员能够更好地分离职责并减少不必要的特权提升风险。 ##### 3. 多级安全(MLS) 虽然 MLS 不是所有部署场景都必需的功能,但它提供了一个额外维度——敏感度分级(Sensitivity Levels 和 Categories)。借助此功能,可以进一步细化哪些用户可以在何种条件下访问某些机密资料[^4]。 #### 如何管理 SELinux 上下文? 针对实际运维需求,Linux 提供了一系列实用工具帮助调整或修复错误配置好的文件标签。下面列举几个常用命令及其用途说明[^2]: - 使用 `chcon`: 手动修改单个文件或者目录的 context; ```bash chcon -t httpd_sys_content_t /website/example.com/ ``` - 利用 `semanage fcontext`: 创建持久化规则以便自动应用正确的 contexts 至匹配路径; ```bash semanage fcontext -a -t httpd_sys_content_t "/website(/.*)?" restorecon -Rv /website ``` 最后一步执行 `restorecon`, 它依据预设数据库重新设定目标位置的所有 entries 正确的 security contexts. --- ### 示例代码展示如何验证及修正文件安全上下文 假设我们希望让 Apache 能够正常加载自定义站点根目录 `/website` 下的内容,则需按照如下方式处理: ```bash # 查看当前状态 ls -lZ /website/ # 添加新的fcontext记录 sudo semanage fcontext -a -t httpd_sys_content_t "/website(/.*)?" # 应用更改至现有结构 sudo restorecon -Rv /website ``` 完成以上步骤之后再次确认效果即可。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ghostwritten

口渴,请赏一杯下午茶吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值