Inicio > Gestión de paquetes y sistema > chcon

chcon: Cambiar el contexto de seguridad SELinux de un archivo

El comando chcon se utiliza para cambiar el contexto de seguridad SELinux (Security-Enhanced Linux) de un archivo o directorio. SELinux es un sistema de control de acceso obligatorio (MAC) que mejora la seguridad del sistema controlando finamente el acceso a archivos, procesos, puertos, etc. Configurar correctamente el contexto de un archivo es esencial para que las aplicaciones funcionen correctamente y cumplan con las políticas de seguridad en sistemas con SELinux habilitado.

Descripción general

chcon es un comando para cambiar manualmente el contexto de seguridad SELinux. El contexto SELinux consta de cuatro campos: usuario (user), rol (role), tipo (type) y nivel (level). Esta información se utiliza para permitir o denegar el acceso a archivos según la política de SELinux. Una configuración de contexto incorrecta puede causar errores de 'Permiso denegado' o crear vulnerabilidades de seguridad, por lo que debe usarse con precaución.

Funciones principales

  • Cambiar el contexto SELinux de archivos y directorios
  • Cambiar solo campos de contexto específicos (usuario, rol, tipo, nivel)
  • Cambiar usando el contexto de otro archivo como referencia
  • Cambiar el contenido de directorios recursivamente

Opciones principales

El comando chcon controla cómo se cambia el contexto SELinux a través de varias opciones.

Especificar contexto

Referencia y recursión

Otros

Comando generado:

Combina los comandos.

Descripción:

`chcon` Ejecutando el comando.

Combina las opciones anteriores para ejecutar virtualmente los comandos junto con la IA.

Ejemplos de uso

Aprenda a administrar eficazmente el contexto SELinux de los archivos a través de varios ejemplos de uso del comando chcon.

Cambiar el contexto de tipo de un archivo

chcon -t httpd_sys_content_t myfile.txt

Cambia el tipo SELinux del archivo 'myfile.txt' a 'httpd_sys_content_t'. Se utiliza comúnmente para archivos a los que debe acceder un servidor web.

Cambiar recursivamente el contexto de tipo de un directorio y sus archivos

chcon -R -t httpd_sys_content_t /var/www/html

Cambia el tipo de todos los archivos y directorios dentro del directorio '/var/www/html' a 'httpd_sys_content_t'.

Cambiar usando el contexto de otro archivo como referencia

chcon --reference=/etc/passwd newfile.txt

Establece el contexto de 'newfile.txt' haciendo referencia al contexto SELinux del archivo '/etc/passwd'.

Cambiar el contexto de usuario y rol de un archivo

chcon -u user_u -r user_r testfile

Cambia la parte del usuario SELinux del archivo 'testfile' a 'user_u' y la parte del rol a 'user_r'.

Consejos y precauciones

Puntos a tener en cuenta y consejos útiles al usar chcon.

Verificar el contexto SELinux

Puede verificar el contexto SELinux actual de un archivo con el comando `ls -Z`.

  • ls -Z /ruta/al/archivo
  • ls -Zd /ruta/al/directorio (para verificar el contexto del propio directorio)

Se recomienda usar restorecon

En la mayoría de los casos, se recomienda usar el comando `restorecon` en lugar de `chcon` para restaurar el contexto según la política SELinux predeterminada del sistema de archivos. `chcon` se utiliza para cambios temporales o propósitos específicos, y para cambios permanentes, es preferible agregarlos a la política a través de `semanage fcontext` y luego ejecutar `restorecon`.

  • restorecon -v /ruta/al/archivo
  • restorecon -Rv /ruta/al/directorio

Riesgos de un contexto incorrecto

Un contexto SELinux incorrecto puede impedir que las aplicaciones accedan a los archivos, lo que provoca interrupciones del servicio. Tenga especial cuidado al cambiar el contexto de archivos importantes del sistema, como los del servidor web, bases de datos y archivos de registro.

Comandos de la misma categoría

acl

ACL: Gestión de Listas de Control de Acceso

anacron

anacron: Ejecución de tareas periódicas después del arranque del sistema

ansible

ansible: Gestión y automatización remota de servidores

apropos

apropos: Búsqueda de páginas de manual

apt

Guía de Comandos APT (Advanced Package Tool)