1. Accueil
  2. Question et réponse
  3. SELinux peut-il donner à un utilisateur régulier le contrôle total d'un système de fichiers ou d'un répertoire?

SELinux peut-il donner à un utilisateur régulier le contrôle total d'un système de fichiers ou d'un répertoire?

2017-05-12 5 views
1

Nous mettons en place une machine Linux (CentOS 7 pour être exact) pour partager des fichiers au sein d'une équipe. Un utilisateur régulier particulier (le boss) devra être capable de lire/écrire/modifier/supprimer tous les fichiers et répertoires du système de fichiers ou du répertoire où nous partageons les fichiers. Je me demande simplement s'il est possible de définir une politique SELinux pour imposer son privilège. Dans le passé, nous avons exécuté un travail cron pour appliquer les autorisations sur tous les fichiers et répertoires toutes les dix minutes. Je pensais juste que SELinux serait la meilleure solution si c'était possible.SELinux peut-il donner à un utilisateur régulier le contrôle total d'un système de fichiers ou d'un répertoire?

Je suis également ouvert à toute autre suggestion. Merci beaucoup!

Source

2017-05-12 C. Wong

+0

Vous devriez poser cette question [ici] (https://unix.stackexchange.com/) ou [là] (https: // super-utilisateur. com /). – Badacadabra

+0

Merci pour cette suggestion! –

Répondre

1

Selinux fournit un mécanisme de prise en charge des stratégies de sécurité de contrôle d'accès. Si vous devez donner accès à d'autres utilisateurs, vous pouvez utiliser des listes de contrôle d'accès ou des autorisations de fichier.

setfacl -RDM u: patron: rwx/shared_dir

setfacl -rm u: patron: rwx/shared_dir

pour afficher les ACL: - le nom de fichier getfacl

u: - mode d'emploi

g: - groupe

d: - défaut

o: - autres

voir les pages de manuel pour plus infor: - homme acl

Source

2017-05-12 17:33:20

+0

Merci pour votre suggestion. Nous avons exécuté un travail cron pour faire "setfacl -Rm u: boss: rwx/shared_dir" toutes les 10 minutes environ. Il impose des autorisations sur les nouveaux fichiers mis là, et de soulager les utilisateurs moins expérimentés de la définition des listes de contrôle d'accès eux-mêmes. Je me demande simplement si SELinux est capable de le faire de manière plus automatisée. –

+0

Avez-vous essayé d'utiliser d pour défaut? Ref: https://serverfault.com/questions/444867/linux-setfacl-set-all-current-future-files-directories-in-parent-directory-to – dps

+0

pas besoin de définir un cronjob pour ce faire. donc vous pouvez créer une règle par défaut sur ce shared_dir. par conséquent, chaque répertoire que vous allez créer sous ce répertoire shared_dir assignera ce privilège. setfacl -Rdm u: boss: rwx/shared_dir d: - Règle par défaut. R: - récursive –

 Questions connexes

  • Aucun problème connexe^_^