Product SiteDocumentation Site

7.3. Устранение проблем

В следующих разделах рассматриваются вопросы поиска и устранения неисправностей и проблем. В них рассматривается: проверка разрешений Linux, что должно проверяться перед правилами SELinux; возможные причины блокировки доступа SELinux, с условием отсутствия сообщений в лог-файлах; страницы руководства (manual pages) для служб, которые содержат информацию о метках и Булевых значениях; разрешенные (permissive) домены, для разрешения одному процессу работать в разрешительном режиме, а не только всей системе телеком; способы поиска и просмотра сообщений об отказах в доступе; анализ отказов в доступе; и создание индивидуальных модулей политики с помощью audit2allow.

7.3.1. Разрешения Linux

Если доступ блокируется, проверьте стандартные разрешения Linux. Как упоминается в Глава 2, Введение, большинство операционных систем использует Дискреционный Контроль Доступа Discretionary Access Control (DAC) для управления доступом, позволяя пользователям контролировать разрешения над файлами, которыми они владеют. Правила политики SELinux проверяются после правил DAC. Правила политики SELinux не используются, если правила DAC блокировали доступ первыми.
Если доступ блокирован и нет никаких сообщений о блокировках SELinux, используйте команду ls -l для просмотра стандартных разрешений Linux:
$ ls -l /var/www/html/index.html
-rw-r----- 1 root root 0 2009-05-07 11:06 index.html
В этом примере, владельцем файла index.html является пользователь и группа root. У пользователя root есть права на чтение и запись (-rw), и у членов группы root есть разрешение на чтение (-r-). У группы Everyone нет доступа (---). По умолчанию, такие разрешения не разрешают httpd читать этот файл. Для решения этой проблемы, используйте команду chown для смены владельца и группы. Эта команда должна быть выполнена от имени пользователя root:
# chown apache:apache /var/www/html/index.html
Данные действия подразумевают конфигурацию по умолчанию, в которой httpd работает от имени пользователя apache. Если httpd запускается от имени другого пользователя, замените apache:apache на этого пользователя.
Дополнительная информация об управлении разрешениями Linux доступна по ссылке Fedora Documentation Project "Permissions".