[ shadow-bg @ 06.01.2013. 21:45 ] @
CentOS 6 izleda...

Pokusavam da skinem ACL sa fajl sistema, konkretno sa jednog direktorijuma u / .

Kad pokusam da iscitam dozvole:
[root@sutra132 /]# getfattr airkiosk/
[root@sutra132 /]# getfattr -d airkiosk/
[root@sutra132 /]#


uopste me ne konstantuje. A kad probam da sa -x skinem, kaze mi Permision denied, iako sam root.

# setfattr -h -x security.selinux /airkiosk/


A u /etc/fstab, stoji defaults medju opcijam. Kako da mu izbacim uopste acl iz defaults opcija?! Gde se definisu default opcije u CentOS ?
[ niceness @ 06.01.2013. 23:37 ] @
Sta tacno zelis da postignes? Za rad sa ACL koristi alate getfacl/setfacl, takodje imas mount opciju noacl.
Ali koliko vidim ti pokusavas ukloniti security.selinux extended atrubut sa tog dira.
ACL je jedna od upotreba extended atributa, selinux security context label druga.
selinux file label menjas sa semanage fcontext (pogledaj man semanage).

Inace getfattr ti nije nista ispisao zato sto --match parametar ima definisan default reg. izraz (pogledaj man stranicu)
Stavi "-" ili "security.selinux" za --match (npr. getfattr -m - -d airkiosk/).
[ shadow-bg @ 07.01.2013. 18:04 ] @
Zelim da svuda u direktorijumu /airkiosk user apache i grupa apache mogu slobodno da pisu.

evo kako je stanje sada, zahvaljujuci tvojoj pomoci sad sam uspeo da ocitam ACL...ali nista ne razumem :) Moram da nadjem neki tutorial. Da li mi mozes pomoci da napravim komandu da dozvolim Apache-u da slobodno pise u tom dir-u?

[root@sutra132 airkiosk]# getfattr -m - -d .
# file: .
security.selinux="system_u:object_r:etc_runtime_t:s0"

[root@sutra132 airkiosk]# ls
AKK airsql
[root@sutra132 airkiosk]# getfattr -m - -d AKK
# file: AKK
security.selinux="unconfined_u:object_r:etc_runtime_t:s0"

[root@sutra132 airkiosk]#
[ niceness @ 08.01.2013. 08:24 ] @
I dalje nije jasno kako si dosao do toga da koristis settfatr/getfattr za rad sa ACL ili da ti uopste treba ACL.

Za standardne unix dozvole/vlasnistvo nad fajlovim korisiti chmod/chown, to verovatno vec znas (chown -R apache:apache airkiosk/).
Za ACL koristi setfacl/getfacl (npr. setfacl -R -m u:apache:rwx -m g:apache:rwx airkiosk/).
Meni se cini da zapravo imas problem sa selinux, ali mogu samo da nagadjam.

Da sad ne bi puno razglabao oko selinux, kreni odavde: http://wiki.centos.org/HowTos/SELinux. Takodje pogledaj man stranicu za httpd_selinux.
U sustinu treba ti nesto ovako:
semanage fcontext -a -t httpd_sys_content_t '/putanja/do/airkiosk(/.*)?'
restorecon -R /putanja/do/airkiosk

tj. dodas novi unos u selinux polisu i onda ga primenis.
Ako ti je selinux prekomplikovan onda ga iskljuci.

Jos jednom, settfatr/getfattr ne trebaju za nista. Ako napises sta je tacno problem tj. koja se greska javlja mozda ce ti neko moci vise pomoci.
[ shadow-bg @ 08.01.2013. 15:51 ] @
Dosao sam tako sto sam sa chown i chmod setovao dozvole kao sto uvek setujem, i da sam i dalje dobijao permision denied. Onda sam posumnjao da ta "." na kraju dozvola ima neke veze zasto ne uspevam. Pa sam citao, i procitao da je to ACL. Pa sam tako dosao do tih komandi..koje ne znam da koristim, tj, treba da naucim da koristim :)

Iskljucio sam SElinux, i primenio komandu koju si mi naveo, i sad to sve radi kako sam zeleo. Hvala ti puno. Sad da zagrejem stolicu i da citam dokumentaciju :)
[ niceness @ 08.01.2013. 18:49 ] @
Aha, sad je jasno...
Tacka u ls izlazu znaci "selinux security context", a plus (+) oznacava prisutnost ACL.
Pogresno si procitao, ili je neko negde pogresno napisao :)