На вашем Linux-сервере очень важно иметь правильный контекст безопасности SELinux для файлов и каталогов.
Когда вы добавляете пользовательский файл в каталог, который уже управляется политикой SELinux, и если ваш пользовательский файл не имеет соответствующего контекста SELinux, то вы не получите ожидаемого результата.
restorecon расшифровывается как Restore SELinux Context.
Команда restorecon возвращает контекст безопасности SELinux для файлов и каталогов к значениям по умолчанию.
При этом будет сброшен только атрибут type контекста SELinux.
В этом руководстве мы объясним, как использовать команду restorecon на нескольких практических примерах.
Использовать restorecon очень просто. Просто введите restorecon, а затем имя файла, который нужно изменить.
🐧 Как использовать semanage и избежать отключения SELinux
И снова я изменил контекст файла index.html на тип домашнего каталога.
Однако на этот раз я использую restorecon для установки правильного типа:
$ ls -Z -rw-rw-r--. web web unconfined_u:object_r:user_home_t:s0 index.html
$ sudo restorecon index.html
$ ls -Z -rw-rw-r--. web web unconfined_u:object_r:httpd_sys_content_t:s0 index.html
Команда restorecon является частью пакета policycoreutil, поэтому для того, чтобы использовать эту команду, этот пакет должен быть установлен в системе.
Примеры команд restorecon
1. Для восстановления контекстов безопасности SELinux по умолчанию:
# restorecon
2. Чтобы игнорировать несуществующие файлы:
# restorecon -i
3. Чтобы указать каталог, который нужно исключить:
# restorecon -e /var
4. Чтобы рекурсивно изменять метки файлов и каталогов:
# restorecon -r # restorecon -R
5. Не изменять никаких лейблов файлов:
# restorecon -n
6. Сохранить список файлов с неправильным контекстом в outfilename:
# restorecon -o /tmp/file
7. Чтобы показать прогресс, выводя * каждые 1000 файлов:
# restorecon -p
8. Чтобы показать изменения в лейблах файлов:
# restorecon -v
9. Чтобы показать изменения в лейблах файлов, типа, роли или пользователя:
# restorecon -vv
10. Для принудительного сброса контекста на соответствие file_context для настраиваемых файлов:
# restorecon -F
Заключение
Использование команды restorecon является наиболее популярным и предпочтительным способом изменения SELinux-контекста файла или каталога.
Как видно из названия команды restorecon, она используется для восстановления стандартного контекста файла или каталога путем чтения правил по умолчанию, установленных в политике SELinux.
Если применяется неправильный контекст, restorecon автоматически исправляет его из политики файловой системы.
см. также:
- 🐧 Как использовать semanage и избежать отключения SELinux
- 🔥 Как изменить SSH-порт в с помощью SELinux
- ?️ Реализация мандатного контроля доступа с помощью SELinux или AppArmor в Linux
- ?️ Как временно или постоянно отключить SELinux
- Как скопировать контекст SELinux из одного каталога в другой
- Как проверить, что файлы и каталоги имеют правильный контекст безопасности SELinux
- Как отключить SELinux на RHEL 8 / CentOS 8