SupportConsoleDéveloppeursCommencer un essaiContact

4.2. Ajustement de la politique de partage des volumes NFS et CIFS à l'aide des booléens SELinux

Vous pouvez modifier certaines parties de la politique SELinux au moment de l'exécution à l'aide de booléens, même si vous n'avez aucune connaissance de l'écriture de la politique SELinux. Cela permet d'apporter des modifications, telles que l'autorisation pour les services d'accéder aux volumes NFS, sans recharger ou recompiler la politique SELinux. La procédure suivante permet de dresser la liste des booléens SELinux et de les configurer afin d'apporter les modifications requises à la politique.

Les montages NFS du côté client sont étiquetés avec un contexte par défaut défini par une stratégie pour les volumes NFS. Dans RHEL, ce contexte par défaut utilise le type nfs_t. De même, les partages Samba montés du côté client sont étiquetés avec un contexte par défaut défini par la stratégie. Ce contexte par défaut utilise le type cifs_t. Vous pouvez activer ou désactiver des booléens pour contrôler les services autorisés à accéder aux types nfs_t et cifs_t.

Pour permettre au service Apache HTTP Server (httpd) d'accéder aux volumes NFS et CIFS et de les partager, procédez comme suit :

Conditions préalables

  • En option, installez le paquet selinux-policy-devel pour obtenir des descriptions plus claires et plus détaillées des booléens SELinux dans la sortie de la commande semanage boolean -l.

Procédure

  1. Identifier les booléens SELinux pertinents pour NFS, CIFS et Apache : 

    # semanage boolean -l | grep 'nfs\|cifs' | grep httpd
httpd_use_cifs                 (off  ,  off)  Allow httpd to access cifs file systems
httpd_use_nfs                  (off  ,  off)  Allow httpd to access nfs file systems

  2. Liste l'état actuel des booléens : 

    $ getsebool -a | grep 'nfs\|cifs' | grep httpd
httpd_use_cifs --> off
httpd_use_nfs --> off

  3. Activer les booléens identifiés : 

    # setsebool httpd_use_nfs on
# setsebool httpd_use_cifs on
    Note

    Utilisez la commande setsebool avec l'option -P pour que les modifications soient prises en compte lors des redémarrages. La commande setsebool -P nécessite une reconstruction de l'ensemble de la stratégie, ce qui peut prendre un certain temps en fonction de votre configuration.

Vérification

  1. Vérifier que les booléens sont bien on: 

    $ getsebool -a | grep 'nfs\|cifs' | grep httpd
httpd_use_cifs --> on
httpd_use_nfs --> on

Ressources supplémentaires

  • semanage-boolean(8), sepolicy-booleans(8), getsebool(8), setsebool(8), booleans(5), et booleans(8) pages de manuel
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.