恢复文件的安全上下文。

补充说明

restorecon 命令用来恢复 SELinux 文件属性即恢复文件的安全上下文。

语法

restorecon [-iFnrRv] [-e excludedir ] [-o filename ] [-f filename | pathname...]

选项

-i:忽略不存在的文件。
-f:infilename 文件 infilename 中记录要处理的文件。
-e:directory 排除目录。
-R/-r:递归处理目录。
-n:不改变文件标签。
-o/outfilename:保存文件列表到 outfilename,在文件不正确情况下。
-v:将过程显示到屏幕上。
-F:强制恢复文件安全语境。

实例

假设 CentOS 安装了 apache,网页默认的主目录是/var/www/html,我们经常遇到这样的问题,在其他目录中创建了一个网页文件,然后用 mv 移动到网页默认目录/var/www/html中,但是在浏览器中却打不开这个文件,这很可能是因为这个文件的 SELinux 配置信息是继承原来那个目录的,与/var/www/html目录不同,使用 mv 移动的时候,这个 SELinux 配置信息也一起移动过来了,从而导致无法打开页面,具体请看下面的实例:

使用 CentOS 举例,如果默认没有安装 apache,确保网络连接,使用下面的命令安装

[root@jsdig.com ~]# yum install httpd
 # 我们在 root 的家目录新建一个 html 文件 
[root@jsdig.com ~]# pwd
/root

[root@jsdig.com ~]# vi index.html

# 随便输入一段文字,保存退出 
welcome to www.jsdig.com

# 将这个文件 mv 到网页默认目录下 
[root@jsdig.com ~]# mv index.html /var/www/html/

# 
# 这个时候我们使用 firefox 浏览器输入 127.0.0.1/index.html 发现打不开,
# 查看一下 SELinux 的日志文件,发现了下面这一段报错信息,从这个报错信息不难看出,
# 进程 httpd 访问网页主目录中的 index.html 时被 SELinux 阻止,原因是因为,SELinux 配置信息不正确,
# 正确的 SELinux 配置信息应该是 scontext=后面的部分,
# 而 index.html 文件的 SELinux 配置信息却是 tcontext=后面的部分,
# 从 tcontext=的第三段“admin_home_t”不难看出,这个文件的 SELinux 配置信息是 root 用户家目录的。
# 
type=AVC msg=audit(1378974214.610:465): avc:  denied  { open } for  pid=2359 comm="httpd" path="/var/www/html/index.html" dev="sda1" ino=1317685 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file

使用 ls -Z 也可以看出,文件和目录的 SELinux 信息不匹配

[root@jsdig.com html]# ls -Z /var/www/html/
.... unconfined_u:object_r:admin_home_t:s0 index.html

[root@jsdig.com html]# ls -Zd /var/www/html/
.... system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

使用 restorecon 来恢复网页主目录中所有文件的 SELinux 配置信息 (如果目标为一个目录,可以添加-R 参数递归)

[root@jsdig.com html]# restorecon -R /var/www/html/