有一次,在学习 SELinux 的管理时,这个restorecon(8)
程序让我非常头疼。无论我如何尝试更改永久文件上下文semanage-fcontext(8)
并随后恢复它们,用户和范围上下文都不会更改。后来我发现在这个答案,为了做到这一点,-F
必须使用该标志。
这让我问了一个问题 - 从概念上讲,如果 SELinux 导致程序崩溃,那是因为规则配置不当,而不是因为 SELinux 强制执行了这些规则。那么(这是我的假设)除了对配置进行故障排除(例如通过使用)之外,任何人都不应该有理由为了其他目的而偏离永久上下文chcon(8)
。
- 为什么默认行为
restorecon
不完全按照配置恢复上下文,而只恢复类型? - 总是使用
-F
旗帜有什么危险吗? - 破坏某些功能的解决方案不应该
restorecon -F
是设置正确的永久上下文,而不是部分恢复它?