Dies ist eine alte Version des Dokuments!

Voraussetzungen

HTML Datei im Zielverzeichnis anlegen

cd /var/www/html/
id -Z
ls -dZ .
matchpathcon .

→ Type: httpd_sys_content_t

<html>
  <head>
    <title>Hello SELinux!</title>
  </head>
  <body>
    Hello SELinux
  </body>
</html>

ls -Z test.html

→ Type: httpd_sys_content_t, Webserver kann darauf zugreifen

als root:

cd
id -Z
ls -dZ .
matchpathcon .

→ Type: admin_home_t

<html>
  <head>
    <title>Hello SELinux!</title>
  </head>
  <body>
    Hello SELinux
  </body>
</html>

ls -Z test.html

→ Type: admin_home_t

mv test.html /var/www/html

→ Webserver kann nicht darauf zugreifen

Wenn zum Zeitpunkt des Zugriffs setroubleshootd aktiviert ist, gibt es hier Hilfe:

journalctl -f _COMM=setroubleshootd

→ SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/test.html

Wenn zum Zeitpunkt des Zugriffs der auditd läuft:

ausearch -m avc -c httpd

→ denied { getattr } … comm=„httpd“ path=„/var/www/html/test.html“ … tcontext=…admin_home_t

chcon -t httpd_sys_content_t /var/www/html/test.html

oder

chcon --reference /var/www/html /var/www/html/test.html

restorecon /var/www/html/test.html

yum install php
service httpd restart
cd /var/www/html/
id -Z
ls -dZ .
matchpathcon .

→ Type: httpd_sys_content_t

PHP-Shell¹⁾ installieren: (niemals auf produktiven Systemen)

wget https://github.com/flozz/p0wny-shell/raw/master/shell.php
ls -Z shell.html

→ Type: httpd_sys_content_t, Webserver kann darauf zugreifen

¹⁾