it-swarm-ja.com

SELinuxは拡張ACLを削除します

Selinuxの拡張ACLを設定できないファイルのセットがあります。 ls -laを実行すると、次のような結果が得られます。

-rwxr-xr-x.  1 root root    1 Aug  8  2014 filea
-rwxr-xr-x.  1 root root    1 Aug  8  2014 fileb
          ^ Note the dot

SELinuxはpermissiveに設定されていますが、コマンドSudo setfattr -h -x security.selinux fileaを実行できません。エラーsetfattr: filea: Permission deniedが返されます。 SELinuxを完全に無効にすると、これは機能します。

問題は、SELinuxを無効にするとサーバーの再起動が必要になることですが、これは不可能です。サーバーを再起動せずにSELinuxファイルACLを削除する(別名ls -laのドットを削除する)方法はありますか?

2
Ben

SELinux ACLはファイルに直接設定されていないため、実際には設定できません。

すべてのSELinuxアクセスルールは「コンテキスト」に適用されます。すべてのプロセスおよびすべてのファイルは1つのコンテキストまたは別のコンテキストに存在し、ドットはファイルに固有のSELinuxコンテキストが割り当てられていることを意味するだけですデフォルトのもの(ls -Z)とは対照的に(unconfined_u:object_r:default_tを参照)。

現在のルールで許可されている場合は、chconを使用して ファイルのセキュリティコンテキストを変更 (ラベルを変更)できます。 。

2
user1686