最新消息:

selinux 对 webserver 文件发布的影响

安全 admin 3075浏览 0评论

SELinux 在国内是一个很少有人用的东西,一般来说,服务器上手第一件事情就是把 SELinux 关掉,以至于有问题的时候排查思路里都压根没检查 SELinux 这步。

昨天在个人电脑的 Fedora 上搭建一个 webserver 发布几个文件,本来想着简单任务越快越好,几行命令完成:

<code>sudo yum install httpd
sudo mv ~/src /var/www/html/
sudo service httpd start
</code>

结果居然一直返回 403 Denied

看 httpd 的 error.log ,一直报这么一行错误:

<code>[core:error] [pid 3806] (13)Permission denied: [client 127.0.0.1:59180] AH00035: access to /src/master.zip denied (filesystem path '/var/www/html/src') because search permissions are missing on a component of the path
</code>

很奇怪吧,于是我先去确认了 httpd.conf 里关于 <Directory "/var/www/html"> 的配置(因为 Fedora19 的 httpd 版本是 2.4.6,我以为新版本有变化了),然后去确认了 /var/www/html/src的权限是不是 755,其他用户可读的。都没问题!

最后还是在 apache 的 httpd 官方文档上找到了关于这个错误码的详细解释,原来还有一种可能性,就是 SELinux 的安全控制!这个可以通过下面这个命令看到:

<code>$ ls -lZ /var/www /var/www/html
/var/www:
drwxr-xr-x. root   root   system_u:object_r:httpd_sys_script_exec_t:s0 cgi-bin
drwxr-xr-x. apache apache system_u:object_r:httpd_sys_content_t:s0 html
/var/www/html:
drwxr-xr-x. chenlin.rao chenlin.rao unconfined_u:object_r:user_home_t:s0 src
</code>

看到没有,这里这些文件的 SELinux 类型是不一样的,默认的 /var/www/html 是httpd_sys_content_t/var/www/cgi-bin 是 httpd_sys_script_exec_t,而从我家目录移过去的 /var/www/html/src 是 user_home_t

解决办法也很简单,把这个类型也改过来就好了:

<code>$ chcon -R -t httpd_sys_content_t /var/www/html/src
</code>

这是第一次接触 SELinux 的安全管理,真的是好细致!

转载请注明:爱开源 » selinux 对 webserver 文件发布的影响

您必须 登录 才能发表评论!