SELinux違反を避けるために再帰チャウンを実行する方法

SELinux違反を避けるために再帰チャウンを実行する方法

a.shスクリプトから:

chown -R root:group parent-folder/

chown -R root:group parent-folder/*

このスクリプトは root ユーザーとして実行されます。

chown が実行されると、次の SELinux 違反が表示されます。

chown :type=1400 audit(0.0:7):avc:deny{dac_override} for feature=1 scontext=u:r:scriptName:s0 tcontext=u:r:scriptName:s0 tclass=feature 許可=1

上記のdac_overrideを防ぐにはどうすればよいですか? (dac_override SEポリシーを適用したくありません。)

答え1

ファイルにアクセスして変更するには、必要なDAC権限を持つユーザー/グループでプロセスを実行する必要があります。CAP_CHOWNその機能がないと、プロセスはファイル所有者を変更できません。ファイル所有者は、グループをプロセスが属する別のグループに変更できます。さらに、再帰にはchown関連ディレクトリに対する(少なくとも)検索権限が必要です。

詳しくはマニュアルページをご覧ください。chown(2)そしてcapabilities(7)

関連情報