Права на каталог для apache (httpd,access, acl, selinux), _KUL, 21-Апр-16, 05:34 [смотреть все]Доброго времени суток! Уже голову сломал, ни как не могу понять почему так происходит. Имеется centos, на нём tacacs+ собирает логи, сделал вебку на perl для apache, чтобы красиво выбирать и формировать данные. Каталог для логов /var/log/tac_plus/Есть небольшой нюанс, на сервера selinux работает. На время тестов я его перевёл в режим permissive (т.е. следит за порядком, но не препятствует нарушению правил). [root@tacacs log]# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28 На нужный каталог назначил права всем на чтение/запись [root@tacacs log]# ls -al drwxrw-rw-. 5 root root 4096 Apr 20 16:38 tac_plus даже ACL как нужно стоят [root@tacacs log]# getfacl tac_plus/ # file: tac_plus/ # owner: root # group: root user::rwx group::rw- other::rw- НО! Никак не может апатчик перлом открыть эту директорию ... Уже даже для апатча сделал баш и от его имени зашёл -bash-4.2$ whoami apache -bash-4.2$ cd /var/log/tac_plus/ -bash: cd: /var/log/tac_plus/: Permission denied Стандартный доступ открыт, ACL открыт, Selinux только наблюдает ... Почему такая ерунда??? Что блокирует доступу???
|
- Права на каталог для apache (httpd,access, acl, selinux), eRIC, 07:04 , 21-Апр-16 (1) +2
> На нужный каталог назначил права всем на чтение/запись > [root@tacacs log]# ls -al > drwxrw-rw-. 5 root root > 4096 Apr 20 16:38 tac_plusс данного вывода видно что нет никаких дополнительных ACL правил (отсутствует + знак в конце прав), а стоит . (знак точка) означает что папка под влиянием SELinux контекста(их можно рассмотреть через -Z параметр) > -bash-4.2$ whoami > apache > -bash-4.2$ cd /var/log/tac_plus/ > -bash: cd: /var/log/tac_plus/: Permission denied для того чтобы можно было в папку зайти/попасть (cd - change directory), нужно выдать права другим(other) на запуск папки(+x)
- Права на каталог для apache (httpd,access, acl, selinux), _KUL, 07:53 , 21-Апр-16 (2)
> для того чтобы можно было в папку зайти/попасть (cd - change directory), > нужно выдать права другим(other) на запуск папки(+x) Спасибо Вам за наводку! Видимо я прогулял этот урок, где рассказывалось, что r для каталога это вовсе не вход в директорию а лишь получение его содержимого. Теперь нужно осознать выражение "запуск папки" :/ ... chmod 777 tac_plus
- Права на каталог для apache (httpd,access, acl, selinux), _KUL, 08:11 , 21-Апр-16 (3)
если бы я perl'ом не заходил в папку, чтобы прочитать список файлов и вернуть апатчу, а напрямую бы обращался, всё бы даже и работало ...
- Права на каталог для apache (httpd,access, acl, selinux), billybons2006, 10:52 , 21-Апр-16 (4)
> если бы я perl'ом не заходил в папку, чтобы прочитать список файлов > и вернуть апатчу, а напрямую бы обращался, всё бы даже и > работало ...В итоге при включении selinux все работает или обратно его не включили? Кстати, совсем нет необходимости полностью переводить selinux в permissive. Можно только для конкретного домена: # semanage permissive -a httpd_t После окончания разборок: # semanage permissive -d httpd_t При этом для остальных доменов ничего не менялось.
- Права на каталог для apache (httpd,access, acl, selinux), eRIC, 11:51 , 21-Апр-16 (5)
> Спасибо Вам за наводку! > Видимо я прогулял этот урок, где рассказывалось, что r для каталога это > вовсе не вход в директорию а лишь получение его содержимого. Теперь > нужно осознать выражение "запуск папки" :/ ... > chmod 777 tac_plusне за что :) думаю можно было бы 755 ограничится...
|