 Права на каталог для apache (httpd,access, acl, selinux),  _KUL, 21-Апр-16, 05:34 [смотреть все]Доброго времени суток!
Уже голову сломал, ни как не могу понять почему так происходит.
Имеется centos, на нём tacacs+ собирает логи, сделал вебку на perl для apache, чтобы красиво выбирать и формировать данные.
Каталог для логов /var/log/tac_plus/Есть небольшой нюанс, на сервера selinux работает. На время тестов я его перевёл в режим permissive (т.е. следит за порядком, но не препятствует нарушению правил).
[root@tacacs log]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 28 На нужный каталог назначил права всем на чтение/запись
[root@tacacs log]# ls -al
drwxrw-rw-. 5 root root 4096 Apr 20 16:38 tac_plus даже ACL как нужно стоят
[root@tacacs log]# getfacl tac_plus/
# file: tac_plus/
# owner: root
# group: root
user::rwx
group::rw-
other::rw- НО! Никак не может апатчик перлом открыть эту директорию ...
Уже даже для апатча сделал баш и от его имени зашёл
-bash-4.2$ whoami
apache
-bash-4.2$ cd /var/log/tac_plus/
-bash: cd: /var/log/tac_plus/: Permission denied Стандартный доступ открыт, ACL открыт, Selinux только наблюдает ... Почему такая ерунда??? Что блокирует доступу???
|
- Права на каталог для apache (httpd,access, acl, selinux), eRIC, 07:04 , 21-Апр-16 (1) +2
> На нужный каталог назначил права всем на чтение/запись
> [root@tacacs log]# ls -al
> drwxrw-rw-. 5 root root
> 4096 Apr 20 16:38 tac_plusс данного вывода видно что нет никаких дополнительных ACL правил (отсутствует + знак в конце прав), а стоит . (знак точка) означает что папка под влиянием SELinux контекста(их можно рассмотреть через -Z параметр) > -bash-4.2$ whoami
> apache
> -bash-4.2$ cd /var/log/tac_plus/
> -bash: cd: /var/log/tac_plus/: Permission denied для того чтобы можно было в папку зайти/попасть (cd - change directory), нужно выдать права другим(other) на запуск папки(+x)
- Права на каталог для apache (httpd,access, acl, selinux), _KUL, 07:53 , 21-Апр-16 (2)
> для того чтобы можно было в папку зайти/попасть (cd - change directory),
> нужно выдать права другим(other) на запуск папки(+x) Спасибо Вам за наводку!
Видимо я прогулял этот урок, где рассказывалось, что r для каталога это вовсе не вход в директорию а лишь получение его содержимого. Теперь нужно осознать выражение "запуск папки" :/ ...
chmod 777 tac_plus
- Права на каталог для apache (httpd,access, acl, selinux), _KUL, 08:11 , 21-Апр-16 (3)
если бы я perl'ом не заходил в папку, чтобы прочитать список файлов и вернуть апатчу, а напрямую бы обращался, всё бы даже и работало ...
- Права на каталог для apache (httpd,access, acl, selinux), billybons2006, 10:52 , 21-Апр-16 (4)
> если бы я perl'ом не заходил в папку, чтобы прочитать список файлов
> и вернуть апатчу, а напрямую бы обращался, всё бы даже и
> работало ...В итоге при включении selinux все работает или обратно его не включили? Кстати, совсем нет необходимости полностью переводить selinux в permissive. Можно только для конкретного домена:
# semanage permissive -a httpd_t После окончания разборок:
# semanage permissive -d httpd_t При этом для остальных доменов ничего не менялось.
- Права на каталог для apache (httpd,access, acl, selinux), eRIC, 11:51 , 21-Апр-16 (5)
> Спасибо Вам за наводку!
> Видимо я прогулял этот урок, где рассказывалось, что r для каталога это
> вовсе не вход в директорию а лишь получение его содержимого. Теперь
> нужно осознать выражение "запуск папки" :/ ...
> chmod 777 tac_plusне за что :)
думаю можно было бы 755 ограничится...
|
Версия для распечатки
