https://www.opennet.ru/openforum/vsluhforumID1/96541.html Доброго времени суток!<br>Уже голову сломал, ни как не могу понять почему так происходит.<br>Имеется centos, на нём tacacs+ собирает логи, сделал вебку на perl для apache, чтобы красиво выбирать и формировать данные.<br>Каталог для логов /var/log/tac_plus/<br><br>Есть небольшой нюанс, на сервера selinux работает. На время тестов я его перевёл в режим permissive (т.е. следит за порядком, но не препятствует нарушению правил).<br>[root@tacacs log]# sestatus<br>SELinux status: enabled<br>SELinuxfs mount: /sys/fs/selinux<br>SELinux root directory: /etc/selinux<br>Loaded policy name: targeted<br>Current mode: permissive<br>Mode from config file: enforcing<br>Policy MLS status: enabled<br>Policy deny_unknown status: allowed<br>Max kernel policy version: 28<br><br>На нужный каталог назначил права всем на чтение/запись<br>[root@tacacs log]# ls -al<br>drwxrw-rw-. 5 root root 4096 Apr 20 16:38 tac_plus<br><br>даже ACL как нужно стоят<br>[root@tacacs log]# https://www.opennet.ru/openforum/vsluhforumID1/96541.html#5 Thu, 21 Apr 2016 08:51:58 GMT &gt; Спасибо Вам за наводку!<br>&gt; Видимо я прогулял этот урок, где рассказывалось, что r для каталога это <br>&gt; вовсе не вход в директорию а лишь получение его содержимого. Теперь <br>&gt; нужно осознать выражение "запуск папки" :/ ...<br>&gt; chmod 777 tac_plus<br><br>не за что :)<br>думаю можно было бы 755 ограничится...<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96541.html#4 Thu, 21 Apr 2016 07:52:03 GMT &gt; если бы я perl'ом не заходил в папку, чтобы прочитать список файлов <br>&gt; и вернуть апатчу, а напрямую бы обращался, всё бы даже и <br>&gt; работало ...<br><br>В итоге при включении selinux все работает или обратно его не включили?<br><br>Кстати, совсем нет необходимости полностью переводить selinux в permissive. Можно только для конкретного домена:<br># semanage permissive -a httpd_t<br><br>После окончания разборок:<br># semanage permissive -d httpd_t<br><br>При этом для остальных доменов ничего не менялось.<br> https://www.opennet.ru/openforum/vsluhforumID1/96541.html#3 Thu, 21 Apr 2016 05:11:14 GMT если бы я perl'ом не заходил в папку, чтобы прочитать список файлов и вернуть апатчу, а напрямую бы обращался, всё бы даже и работало ...<br> https://www.opennet.ru/openforum/vsluhforumID1/96541.html#2 Thu, 21 Apr 2016 04:53:08 GMT &gt; для того чтобы можно было в папку зайти/попасть (cd - change directory), <br>&gt; нужно выдать права другим(other) на запуск папки(+x) <br><br>Спасибо Вам за наводку! <br>Видимо я прогулял этот урок, где рассказывалось, что r для каталога это вовсе не вход в директорию а лишь получение его содержимого. Теперь нужно осознать выражение "запуск папки" :/ ...<br>chmod 777 tac_plus<br> https://www.opennet.ru/openforum/vsluhforumID1/96541.html#1 Thu, 21 Apr 2016 04:04:26 GMT &gt; На нужный каталог назначил права всем на чтение/запись <br>&gt; [root@tacacs log]# ls -al <br>&gt; drwxrw-rw-. 5 root root <br>&gt; 4096 Apr 20 16:38 tac_plus<br><br>с данного вывода видно что нет никаких дополнительных ACL правил (отсутствует + знак в конце прав), а стоит . (знак точка) означает что папка под влиянием SELinux контекста(их можно рассмотреть через -Z параметр)<br><br>&gt; -bash-4.2$ whoami <br>&gt; apache <br>&gt; -bash-4.2$ cd /var/log/tac_plus/ <br>&gt; -bash: cd: /var/log/tac_plus/: Permission denied <br><br>для того чтобы можно было в папку зайти/попасть (cd - change directory), нужно выдать права другим(other) на запуск папки(+x)<br>