CentOS8 Stream — что такое контекст безопасности в правах доступа к файлам и как он может повлиять на доступ?

Я установил некоторые из своих основных приложений aspnet в Linux до использования CentOS8. На этот раз я использовал CentOS8-Stream. Я не знаю, способствует ли это решению проблемы.

Факты:

1. Я не мог заставить apache использовать сертификаты. Все было так, как я делал раньше, и все же это не сработало. Наконец я нашел какую-то непонятную ссылку в Интернете, которая использовала ls -lrtZ /etc/pki/tls/сертификаты для отображения контекст безопасности (даже не знал, что он существует). Так что я просто ср файлы сертификатов, и с Apache теперь все в порядке.

2. Однако мое приложение aspnet не работает с попытка написать базу данных только для чтения. я попробовал ср обмануть его, но не поможет .. Также не появляются журналы приложений

Файл БД:

-rw-rw-rw-. 1 корень root unconfined_u:object_r:httpd_sys_content_t:s0

я не понимаю как это контекст безопасности может отменить обычный chmod-подобные разрешения?? И что делать, чтобы исправить? Я имею в виду, как более явное разрешение может быть rwrwrw?

Это какой-то новый особенность из SELinux? Могу ли я отключить его полностью?

Примечание. 1 и 2 не связаны - я просто думаю, что у них одна и та же основная причина, но между ними ничего нет. Если я обращаюсь к приложению aspnet напрямую без Apache - у него такая же ошибка

SELinux — это система управления доступом на основе ролей, которая может в мельчайших деталях контролировать, что разрешено делать процессу. Например, веб-сервер более безопасен, если он не может читать, скажем, /и т.д./тень даже в качестве пользователя root и не запускать веб-оболочку. Контекст безопасности имеет основополагающее значение для этой системы и присутствует с самого начала.

Контекст файла SELinux отличается от разрешений UNIX или расширенных ACL. Все должны позволить; да, selinux может отказать, когда базовые права доступа к файлам означают, что они разрешены.

Читать RHEL 8 Руководство по использованию SELinux и Вики-страница CentOS на SELinux. Используйте инструменты устранения неполадок там, в частности герметик -a /var/log/audit/audit.log Просмотрите все отказы во время проблемы с приложением. Проверьте, существуют ли какие-либо логические значения для переключения поведения, которое вы хотите.

Благодаря @John Mahowald я нашел правильный угол для рассмотрения проблемы.

Причина в том, что все мои предыдущие виртуальные машины используют SELinux. снисходительный режиме, в то время как новый (GCP) работает в соблюдение режим.

Так что, если вы наткнетесь на странные эффекты, которые вы не можете объяснить - см. ссылки Джона. Но используйте сестатус сначала введите команду, чтобы увидеть, в каком режиме установлен ваш SELinux.

P.S. Я решил оставить его как разрешительный, поскольку принудительное выполнение просто нецелесообразно поддерживать. Я думаю, что весь этот SELinux — белый слон. Его нужно заменить