解決SELinux對網站目錄許可權控制的不當的問題

技術小胖子發表於2017-11-07
原文網址 : https://flycode.co/archives/176459
Linux網站

前言:本文主要介紹了因為SELinux對網站目錄許可權控制的不當而引起網站無法正常操作和訪問的問題。

正文開始:今天下午閒著沒有事做於是突然興起想嘗試安裝下Drupal。以前用Wordpress做部落格久了,總想著嚐嚐新。

按照Installtion Guide提示的安裝步驟進行操作如下:



    

  1. wget http://drupal.org/files/projects/drupal-7.12.tar.gz 
    2. 

  2. tar -zxvf drupal-7.12.tar.gz 
    3. 

  3. 
mv drupal-7.12 /var/www/html/home_start
    4. 

  4. cd /var/www/html/home_start
    5. 

  5. cp sites/default/default.settings.php sites/default/settings.php 
    6. 

  6. chmod a+w sites/default/settings.php 
    7. 

  7. chmod a+w sites/default 
    8. 

  8. mysqladmin -u username -p create databasename #用正確的字串代替username和databasename
    9. 



一切準備就緒!就等著進網站目錄進行下一步配置了!


不幸的是,在瀏覽器中開啟網站的目錄後就遭遇了httpd的403拒絕訪問提示。


這很顯然,根據以往的經驗可以判斷是目錄許可權存在問題。


為了驗證這一說法,我們可以檢查httpd的錯誤日誌。預設情況下日誌就存在在/var/log/httpd/目錄中。




    

  1. [root@localhost ~]# grep Permission /var/log/httpd/error_log 
    2. 

  2. [Tue Apr 10 09:07:04 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied 
    3. 

  3. [Tue Apr 10 09:07:50 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied 
    4. 

  4. [Tue Apr 10 09:08:07 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied 
    5. 

  5. [Tue Apr 10 09:10:06 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied 
    6. 

  6. [Tue Apr 10 09:11:08 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied 
    7. 

  7. [Tue Apr 10 09:11:17 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied 
    8. 

  8. [Tue Apr 10 09:11:34 2012] [error] [client ::1] (13)Permission denied: access to /start denied 
    9. 

  9. [Tue Apr 10 09:13:35 2012] [error] [client ::1] (13)Permission denied: access to /start denied 
    10. 

  10. [Tue Apr 10 09:13:51 2012] [error] [client ::1] (13)Permission denied: access to /start/site/default/ denied 
    11. 

  11. [Tue Apr 10 09:13:57 2012] [error] [client ::1] (13)Permission denied: access to /start/sites denied 
    12. 

  12. [Tue Apr 10 09:14:51 2012] [error] [client ::1] (13)Permission denied: access to /start/install.php denied 
    13. 

  13. [Tue Apr 10 09:18:57 2012] [error] [client ::1] (13)Permission denied: access to /start/install.php denied 
    14. 

  14. [Tue Apr 10 09:19:01 2012] [error] [client ::1] (13)Permission denied: access to /start/ denied 
    15. 

  15. [Tue Apr 10 09:22:03 2012] [error] [client ::1] (13)Permission denied: access to /start denied 
    16. 

  16. [Tue Apr 10 09:22:21 2012] [error] [client ::1] (13)Permission denied: access to /start denied 
    17. 

  17. [Tue Apr 10 09:22:24 2012] [error] [client ::1] (13)Permission denied: access to /start denied 
    18. 

  18. [Tue Apr 10 09:22:27 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied 
    19. 

  19. [Tue Apr 10 09:27:02 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied 
    20. 

  20. [Tue Apr 10 09:27:05 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied 
    21. 

  21. [Tue Apr 10 09:27:07 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied 
    22. 

  22. [Tue Apr 10 12:09:58 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /home_start denied 
    23. 

  23. [Tue Apr 10 12:42:38 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /home_start denied 
    24. 

  24. [Tue Apr 10 12:42:40 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /home_start denied 
    25. 

  25. [Tue Apr 10 12:44:15 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /home_start denied 
    26. 

  26. [Tue Apr 10 12:44:20 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /home_start denied 
    27. 

  27. [Tue Apr 10 20:53:21 2012] [error] [client ::1] (13)Permission denied: access to /home_start denied 
    28. 

  28. [Tue Apr 10 21:07:21 2012] [error] [client ::1] (13)Permission denied: access to /home_start denied 
    29. 

  29. [Tue Apr 10 21:14:48 2012] [error] [client ::1] (13)Permission denied: access to /home_start denied 
    30. 

  30. [root@localhost ~]#  
    31. 



再檢查網站目錄和檔案的許可權。為方便起見直接用-lZ選項。用於顯示詳細資訊和SELinux許可權資訊




    

  1. [root@localhost html]# ls -lZ 
    2. 

  2. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 archive.html 
    3. 

  3. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog 
    4. 

  4. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog_backup 
    5. 

  5. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog.htm 
    6. 

  6. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog.html 
    7. 

  7. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 css 
    8. 

  8. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 home_page 
    9. 

  9. drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home_start #問題行
    10. 

  10. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 images 
    11. 

  11. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.htm 
    12. 

  12. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html 
    13. 

  13. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 info_php.php 
    14. 

  14. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 js 
    15. 

  15. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 log 
    16. 

  16. drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 php #以前的遺留問題
    17. 

  17. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 phpMyAdmin-3.4.10.1-all-languages 
    18. 

  18. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 PSDs 
    19. 

  19. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 readme.txt 
    20. 

  20. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 style.htm 
    21. 

  21. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 style.html 
    22. 

  22. drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 wiki 
    23. 



顯然上面顯示的結果中的09、16兩行的許可權與其他網站目錄不同。


再檢視selinx的工作狀態,判斷是不是SELinux引起的。




    

  1. [root@localhost httpd]# sestatus  
    2. 

  2. SELinux status:                 enabled 
    3. 

  3. SELinuxfs mount:                /selinux 
    4. 

  4. Current mode:                   enforcing 
    5. 

  5. Mode from config file:          enforcing 
    6. 

  6. Policy version:                 24 
    7. 

  7. Policy from config file:        targeted 
    8. 



這就是導致網站許可權不正確的原因。


我猜測可能是在selinux啟用時對目錄或檔案進行操作導致的。因為最近我對SELinux進行了升級(以前沒有遇到)。


PS:最新的原因分析請參見《對SELinux許可權發生變化的解釋》一文。


所以使用chcon更改SELinux許可權以及顯示結果如下:


setenforce 0 #必須暫時停止SELinux,否則可能導致操作失敗。 
chcon -t httpd_sys_content_t -R /var/www/html/home_start/ #R引數是遞迴操作的意思






經過修改就會發現SELinux的對應許可權已經和其他目錄相同了!都是httpd_sys_content_t。




    

  1. [root@localhost html]# setenforce –help 
    2. 

  2. usage:  setenforce [ Enforcing | Permissive | 1 | 0 ] 
    3. 

  3. [root@localhost html]# setenforce 0 
    4. 

  4. [root@localhost html]# cd 
    5. 

  5. [root@localhost ~]# ls /var/www/html/ -Z 
    6. 

  6. ……
    7. 

  7. drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home_start 
    8. 

  8. ……
    9. 

  9. 
[root@localhost ~]# chcon -t httpd_sys_content_t -R /var/www/html/home_start/ 

    10. 

  10. [root@localhost ~]# ls /var/www/html/home_start/ -Z 
    11. 

  11. ……
    12. 

  12. -rw-r–r–. root root unconfined_u:object_r:httpd_sys_content_t:s0 authorize.php 
    13. 

  13. ……
    14. 



然後,再次開啟瀏覽器輸入地址,驗證能否訪問,如果可以訪問就可以進行下一步配置了!


最後,還是那句話,遇到問題一定要仔細分析,儘可能的通過自己的努力和分析發現問題所在,這樣才能體會到解決問題的快樂!














  本文轉自 urey_pp 51CTO部落格,原文連結:http://blog.51cto.com/dgd2010/831098,如需轉載請自行聯絡原作者














相關文章