a.shスクリプトから:
chown -R root:group parent-folder/
chown -R root:group parent-folder/*
このスクリプトは root ユーザーとして実行されます。
chown が実行されると、次の SELinux 違反が表示されます。
chown :type=1400 audit(0.0:7):avc:deny{dac_override} for feature=1 scontext=u:r:scriptName:s0 tcontext=u:r:scriptName:s0 tclass=feature 許可=1
上記のdac_overrideを防ぐにはどうすればよいですか? (dac_override SEポリシーを適用したくありません。)
答え1
ファイルにアクセスして変更するには、必要なDAC権限を持つユーザー/グループでプロセスを実行する必要があります。CAP_CHOWN
その機能がないと、プロセスはファイル所有者を変更できません。ファイル所有者は、グループをプロセスが属する別のグループに変更できます。さらに、再帰にはchown
関連ディレクトリに対する(少なくとも)検索権限が必要です。
詳しくはマニュアルページをご覧ください。chown(2)
そしてcapabilities(7)
。