The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Права на каталог для apache (httpd,access, acl, selinux)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Файловые системы, диски / Linux)
Изначальное сообщение [ Отслеживать ]

"Права на каталог для apache (httpd,access, acl, selinux)"  +/
Сообщение от _KUL (ok) on 21-Апр-16, 05:34 
Доброго времени суток!
Уже голову сломал, ни как не могу понять почему так происходит.
Имеется centos, на нём tacacs+ собирает логи, сделал вебку на perl для apache, чтобы красиво выбирать и формировать данные.
Каталог для логов /var/log/tac_plus/

Есть небольшой нюанс, на сервера selinux работает. На время тестов я его перевёл в режим permissive (т.е. следит за порядком, но не препятствует нарушению правил).
[root@tacacs log]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

На нужный каталог назначил права всем на чтение/запись
[root@tacacs log]# ls -al
drwxrw-rw-.  5 root   root        4096 Apr 20 16:38 tac_plus

даже ACL как нужно стоят
[root@tacacs log]# getfacl tac_plus/
# file: tac_plus/
# owner: root
# group: root
user::rwx
group::rw-
other::rw-

НО! Никак не может апатчик перлом открыть эту директорию ...
Уже даже для апатча сделал баш и от его имени зашёл
-bash-4.2$ whoami
apache
-bash-4.2$ cd /var/log/tac_plus/
-bash: cd: /var/log/tac_plus/: Permission denied

Стандартный доступ открыт, ACL открыт, Selinux только наблюдает ... Почему такая ерунда??? Что блокирует доступу???

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Права на каталог для apache (httpd,access, acl, selinux)"  +2 +/
Сообщение от eRIC (ok) on 21-Апр-16, 07:04 
> На нужный каталог назначил права всем на чтение/запись
> [root@tacacs log]# ls -al
> drwxrw-rw-.  5 root   root      
>   4096 Apr 20 16:38 tac_plus

с данного вывода видно что нет никаких дополнительных ACL правил (отсутствует + знак в конце прав), а стоит . (знак точка) означает что папка под влиянием SELinux контекста(их можно рассмотреть через -Z параметр)

> -bash-4.2$ whoami
> apache
> -bash-4.2$ cd /var/log/tac_plus/
> -bash: cd: /var/log/tac_plus/: Permission denied

для того чтобы можно было в папку зайти/попасть (cd - change directory), нужно выдать права другим(other) на запуск папки(+x)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Права на каталог для apache (httpd,access, acl, selinux)"  +/
Сообщение от _KUL (ok) on 21-Апр-16, 07:53 
> для того чтобы можно было в папку зайти/попасть (cd - change directory),
> нужно выдать права другим(other) на запуск папки(+x)

Спасибо Вам за наводку!
Видимо я прогулял этот урок, где рассказывалось, что r для каталога это вовсе не вход в директорию а лишь получение его содержимого. Теперь нужно осознать выражение "запуск папки" :/ ...
chmod 777 tac_plus

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Права на каталог для apache (httpd,access, acl, selinux)"  +/
Сообщение от _KUL (ok) on 21-Апр-16, 08:11 
если бы я perl'ом не заходил в папку, чтобы прочитать список файлов и вернуть апатчу, а напрямую бы обращался, всё бы даже и работало ...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Права на каталог для apache (httpd,access, acl, selinux)"  +/
Сообщение от billybons2006 email(ok) on 21-Апр-16, 10:52 
> если бы я perl'ом не заходил в папку, чтобы прочитать список файлов
> и вернуть апатчу, а напрямую бы обращался, всё бы даже и
> работало ...

В итоге при включении selinux все работает или обратно его не включили?

Кстати, совсем нет необходимости полностью переводить selinux в permissive. Можно только для конкретного домена:
# semanage permissive -a httpd_t

После окончания разборок:
# semanage permissive -d httpd_t

При этом для остальных доменов ничего не менялось.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Права на каталог для apache (httpd,access, acl, selinux)"  +/
Сообщение от eRIC (ok) on 21-Апр-16, 11:51 
> Спасибо Вам за наводку!
> Видимо я прогулял этот урок, где рассказывалось, что r для каталога это
> вовсе не вход в директорию а лишь получение его содержимого. Теперь
> нужно осознать выражение "запуск папки" :/ ...
> chmod 777 tac_plus

не за что :)
думаю можно было бы 755 ограничится...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру