SELinux удалить расширенный ACL

Question

У меня есть набор файлов, которые не могут иметь расширенный acl в selinux. При запуске ls -la я получаю результат, похожий на:

-rwxr-xr-x.  1 root root    1 Aug  8  2014 filea
-rwxr-xr-x.  1 root root    1 Aug  8  2014 fileb
          ^ Note the dot

SELinux настроен как разрешающий, но я не могу выполнить команду sudo setfattr -h -x security.selinux filea , он возвращает ошибку setfattr: filea: Permission denied . Если я полностью отключить SELinux, это работает, хотя.

Проблема в том, что отключение SELinux требует перезагрузки сервера, что невозможно. Есть ли способ удалить ACL-файлы SELinux (или удалить эту точку в ls -la) без перезапуска сервера?

Answer 1

ACL-списки SELinux не устанавливаются непосредственно для файлов, так что нет, вы не можете.

Все правила доступа SELinux применяются к "контекстам"; все процессы и все файлы живут в том или ином контексте, и точка означает только то, что файлу присвоен определенный контекст SELinux (см. ls -Z), а не заданный по умолчанию (unconfined_u:object_r:default_t).

Если текущие правила разрешают это, вы можете изменить контекст безопасности файла (переименовать его), используя chcon.