forum.opennet.ru - "Права на каталог для apache (httpd,access, acl, selinux)" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Права на каталог для apache (httpd,access, acl, selinux)"

Форум Открытые системы на сервере (Файловые системы, диски / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Права на каталог для apache (httpd,access, acl, selinux)"	+/–
Сообщение от _KUL (ok) on 21-Апр-16, 05:34
Доброго времени суток! Уже голову сломал, ни как не могу понять почему так происходит. Имеется centos, на нём tacacs+ собирает логи, сделал вебку на perl для apache, чтобы красиво выбирать и формировать данные. Каталог для логов /var/log/tac_plus/ Есть небольшой нюанс, на сервера selinux работает. На время тестов я его перевёл в режим permissive (т.е. следит за порядком, но не препятствует нарушению правил). [root@tacacs log]# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28 На нужный каталог назначил права всем на чтение/запись [root@tacacs log]# ls -al drwxrw-rw-. 5 root root 4096 Apr 20 16:38 tac_plus даже ACL как нужно стоят [root@tacacs log]# getfacl tac_plus/ # file: tac_plus/ # owner: root # group: root user::rwx group::rw- other::rw- НО! Никак не может апатчик перлом открыть эту директорию ... Уже даже для апатча сделал баш и от его имени зашёл -bash-4.2$ whoami apache -bash-4.2$ cd /var/log/tac_plus/ -bash: cd: /var/log/tac_plus/: Permission denied Стандартный доступ открыт, ACL открыт, Selinux только наблюдает ... Почему такая ерунда??? Что блокирует доступу???
Ответить \| Правка \| Cообщить модератору

Оглавление

Права на каталог для apache (httpd,access, acl, selinux), eRIC, 07:04 , 21-Апр-16, (1) +2

Права на каталог для apache (httpd,access, acl, selinux), _KUL, 07:53 , 21-Апр-16, (2)

Права на каталог для apache (httpd,access, acl, selinux), _KUL, 08:11 , 21-Апр-16, (3)

Права на каталог для apache (httpd,access, acl, selinux), billybons2006, 10:52 , 21-Апр-16, (4)

Права на каталог для apache (httpd,access, acl, selinux), eRIC, 11:51 , 21-Апр-16, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Права на каталог для apache (httpd,access, acl, selinux)" +2 +/–

Сообщение от eRIC (ok) on 21-Апр-16, 07:04

> На нужный каталог назначил права всем на чтение/запись
> [root@tacacs log]# ls -al
> drwxrw-rw-. 5 root root
> 4096 Apr 20 16:38 tac_plus
с данного вывода видно что нет никаких дополнительных ACL правил (отсутствует + знак в конце прав), а стоит . (знак точка) означает что папка под влиянием SELinux контекста(их можно рассмотреть через -Z параметр)
> -bash-4.2$ whoami
> apache
> -bash-4.2$ cd /var/log/tac_plus/
> -bash: cd: /var/log/tac_plus/: Permission denied
для того чтобы можно было в папку зайти/попасть (cd - change directory), нужно выдать права другим(other) на запуск папки(+x)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Права на каталог для apache (httpd,access, acl, selinux)" +/–

Сообщение от _KUL (ok) on 21-Апр-16, 07:53

> для того чтобы можно было в папку зайти/попасть (cd - change directory),
> нужно выдать права другим(other) на запуск папки(+x)
Спасибо Вам за наводку!
Видимо я прогулял этот урок, где рассказывалось, что r для каталога это вовсе не вход в директорию а лишь получение его содержимого. Теперь нужно осознать выражение "запуск папки" :/ ...
chmod 777 tac_plus

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Права на каталог для apache (httpd,access, acl, selinux)" +/–

Сообщение от _KUL (ok) on 21-Апр-16, 08:11

если бы я perl'ом не заходил в папку, чтобы прочитать список файлов и вернуть апатчу, а напрямую бы обращался, всё бы даже и работало ...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Права на каталог для apache (httpd,access, acl, selinux)" +/–

Сообщение от billybons2006 (ok) on 21-Апр-16, 10:52

> если бы я perl'ом не заходил в папку, чтобы прочитать список файлов
> и вернуть апатчу, а напрямую бы обращался, всё бы даже и
> работало ...
В итоге при включении selinux все работает или обратно его не включили?
Кстати, совсем нет необходимости полностью переводить selinux в permissive. Можно только для конкретного домена:
# semanage permissive -a httpd_t
После окончания разборок:
# semanage permissive -d httpd_t
При этом для остальных доменов ничего не менялось.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Права на каталог для apache (httpd,access, acl, selinux)" +/–

Сообщение от eRIC (ok) on 21-Апр-16, 11:51

> Спасибо Вам за наводку!
> Видимо я прогулял этот урок, где рассказывалось, что r для каталога это
> вовсе не вход в директорию а лишь получение его содержимого. Теперь
> нужно осознать выражение "запуск папки" :/ ...
> chmod 777 tac_plus
не за что :)
думаю можно было бы 755 ограничится...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Права на каталог для apache (httpd,access, acl, selinux)"	+2 +/–
Сообщение от eRIC (ok) on 21-Апр-16, 07:04
> На нужный каталог назначил права всем на чтение/запись > [root@tacacs log]# ls -al > drwxrw-rw-. 5 root root > 4096 Apr 20 16:38 tac_plus с данного вывода видно что нет никаких дополнительных ACL правил (отсутствует + знак в конце прав), а стоит . (знак точка) означает что папка под влиянием SELinux контекста(их можно рассмотреть через -Z параметр) > -bash-4.2$ whoami > apache > -bash-4.2$ cd /var/log/tac_plus/ > -bash: cd: /var/log/tac_plus/: Permission denied для того чтобы можно было в папку зайти/попасть (cd - change directory), нужно выдать права другим(other) на запуск папки(+x)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Права на каталог для apache (httpd,access, acl, selinux)"	+/–
	Сообщение от _KUL (ok) on 21-Апр-16, 07:53
	> для того чтобы можно было в папку зайти/попасть (cd - change directory), > нужно выдать права другим(other) на запуск папки(+x) Спасибо Вам за наводку! Видимо я прогулял этот урок, где рассказывалось, что r для каталога это вовсе не вход в директорию а лишь получение его содержимого. Теперь нужно осознать выражение "запуск папки" :/ ... chmod 777 tac_plus
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Права на каталог для apache (httpd,access, acl, selinux)"	+/–
	Сообщение от _KUL (ok) on 21-Апр-16, 08:11
	если бы я perl'ом не заходил в папку, чтобы прочитать список файлов и вернуть апатчу, а напрямую бы обращался, всё бы даже и работало ...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Права на каталог для apache (httpd,access, acl, selinux)"	+/–
	Сообщение от billybons2006 (ok) on 21-Апр-16, 10:52
	> если бы я perl'ом не заходил в папку, чтобы прочитать список файлов > и вернуть апатчу, а напрямую бы обращался, всё бы даже и > работало ... В итоге при включении selinux все работает или обратно его не включили? Кстати, совсем нет необходимости полностью переводить selinux в permissive. Можно только для конкретного домена: # semanage permissive -a httpd_t После окончания разборок: # semanage permissive -d httpd_t При этом для остальных доменов ничего не менялось.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Права на каталог для apache (httpd,access, acl, selinux)"	+/–
	Сообщение от eRIC (ok) on 21-Апр-16, 11:51
	> Спасибо Вам за наводку! > Видимо я прогулял этот урок, где рассказывалось, что r для каталога это > вовсе не вход в директорию а лишь получение его содержимого. Теперь > нужно осознать выражение "запуск папки" :/ ... > chmod 777 tac_plus не за что :) думаю можно было бы 755 ограничится...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору