配置 vsftpd 允许访问已挂载的 ISO 文件

Question 1

大约 3 小时后，我想我明白了为什么它不起作用。

public_content_t通过 FTP 服务器共享的文件需要Selinux 上下文，除非与用户主目录关联并且看起来/var/ftp/pub不符合主目录的条件。

在我挂载 ISO 文件后，rhel 的安全上下文更改为system_u:object_r:iso9660_t:s0，并且由于 ISO 文件只能以只读方式挂载，所以我无法更改安全上下文。

还注意到以下/var/log/audit/audit.log

type=AVC msg=audit(1404397698.292:182): avc:  denied  { getattr } for  pid=2671 comm="vsftpd" path="/pub/ISO/rhel" dev=loop1 ino=1856 scontext=unconfined_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:iso9660_t:s0 tclass=dir

禁用selinux并重新启动vsftpd，一切正常。

Answer

大约 3 小时后，我想我明白了为什么它不起作用。

public_content_t通过 FTP 服务器共享的文件需要Selinux 上下文，除非与用户主目录关联并且看起来/var/ftp/pub不符合主目录的条件。

在我挂载 ISO 文件后，rhel 的安全上下文更改为system_u:object_r:iso9660_t:s0，并且由于 ISO 文件只能以只读方式挂载，所以我无法更改安全上下文。

还注意到以下/var/log/audit/audit.log

type=AVC msg=audit(1404397698.292:182): avc:  denied  { getattr } for  pid=2671 comm="vsftpd" path="/pub/ISO/rhel" dev=loop1 ino=1856 scontext=unconfined_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:iso9660_t:s0 tclass=dir

禁用selinux并重新启动vsftpd，一切正常。

Question 2

我有一个虚拟机，它连接了一个 iso 映像作为虚拟 cdrom，这与您的设置几乎相同。

我将此行添加到/etc/fstab

/dev/cdrom /repo iso9660 rootcontext=system_u:object_r:public_content_t:s0,context=system_u:object_r:public_content_t:s0 0 0

在 mount(8) 中搜索 selinux 选项

ftp用户设置：

# getent passwd ftp
ftp:x:14:50:FTP User:/repo:/sbin/nologin

Answer

我有一个虚拟机，它连接了一个 iso 映像作为虚拟 cdrom，这与您的设置几乎相同。

我将此行添加到/etc/fstab

/dev/cdrom /repo iso9660 rootcontext=system_u:object_r:public_content_t:s0,context=system_u:object_r:public_content_t:s0 0 0

在 mount(8) 中搜索 selinux 选项

ftp用户设置：

# getent passwd ftp
ftp:x:14:50:FTP User:/repo:/sbin/nologin

配置 vsftpd 允许访问已挂载的 ISO 文件

答案1

答案2

相关内容