table of contents
| ftpd_selinux(8) | ftpd Selinux Policy documentation | ftpd_selinux(8) |
НАЗВАНИЕ¶
ftpd_selinux - Политика Security Enhanced Linux для демона ftp
ОПИСАНИЕ¶
Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа.
КОНТЕКСТ ФАЙЛОВ¶
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный доступ к файлам, вы должны присвоить этим файлам и директориям контекст public_content_t. Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
- chcon -R -t public_content_t /var/ftp
- Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны
- установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
- chcon -t public_content_rw_t /var/ftp/incoming
- Вы также должны включить переключатель allow_ftpd_anon_write.
- setsebool -P allow_ftpd_anon_write=1
- Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
- при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
- /etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
-
/var/ftp(/.*)? system_u:object_r:public_content_t /var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t
ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)¶
Политика
SELinux для
демона ftp
настроена
исходя из
принципа
наименьших
привелегий.
Таким
образом, по
умолчанию
политика SELinux
не
позволяет
пользователям
заходить
на сервер и
читать
содержимое
их
домашних
директорий.
Если вы
настраиваете
данную
машину как
ftpd-сервер и
хотите,
чтобы
пользователи
могли
получать
доступ к
своим
домашним
директориям,
то вам
необходимо
установить
переключатель
ftp_home_dir.
- setsebool -P ftp_home_dir 1
- ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы
- хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon.
- setsebool -P ftpd_is_daemon 1
-
service vsftpd restart - Для управления настройками SELinux существует графическая утилита system-config-selinux.
АВТОРЫ ¶
Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>. Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
СМОТРИ ТАКЖЕ¶
selinux(8), ftpd(8), chcon(1), setsebool(8)
| 17 Янв 2005 | dwalsh@redhat.com |