Nextcloud 之 Selinux

最新推荐文章于 2023-03-30 17:12:46 发布
最新推荐文章于 2023-03-30 17:12:46 发布
阅读量482 收藏 1
点赞数

来源:

https://docs.nextcloud.com/server/14/admin_manual/installation/selinux_configuration.html

When you have SELinux enabled on your Linux distribution, you may run into permissions problems after a new Nextcloud installation, and see permission denied errors in your Nextcloud logs.

The following settings should work for most SELinux systems that use the default distro profiles. Run these commands as root, and remember to adjust the filepaths in these examples for your installation:

semanage fcontext -a -t httpd_sys_rw_content_t '/var/www/html/nextcloud/data(/. * )?'
semanage fcontext -a -t httpd_sys_rw_content_t '/var/www/html/nextcloud/config(/. * )?'
semanage fcontext -a -t httpd_sys_rw_content_t '/var/www/html/nextcloud/apps(/. * )?'
semanage fcontext -a -t httpd_sys_rw_content_t '/var/www/html/nextcloud/.htaccess'
semanage fcontext -a -t httpd_sys_rw_content_t '/var/www/html/nextcloud/.user.ini'

restorecon -Rv '/var/www/html/nextcloud/'

If you uninstall Nextcloud you need to remove the Nextcloud directory labels. To do this execute the following commands as root after uninstalling Nextcloud:

semanage fcontext -d '/var/www/html/nextcloud/data(/.*)?'
semanage fcontext -d '/var/www/html/nextcloud/config(/.*)?'
semanage fcontext -d '/var/www/html/nextcloud/apps(/.*)?'
semanage fcontext -d '/var/www/html/nextcloud/.htaccess'
semanage fcontext -d '/var/www/html/nextcloud/.user.ini'

restorecon -Rv '/var/www/html/nextcloud/'

If you have customized SELinux policies and these examples do not work, you must give the HTTP server write access to these directories:

/var/www/html/nextcloud/data
/var/www/html/nextcloud/config
/var/www/html/nextcloud/apps

Enable updates via the web interface
To enable updates via the web interface, you may need this to enable writing to the directories:

setsebool httpd_unified on

When the update is completed, disable write access:

setsebool -P  httpd_unified  off

Disallow write access to the whole web directory
For security reasons it’s suggested to disable write access to all folders in /var/www/ (default):

setsebool -P  httpd_unified  off

Allow access to a remote database
An additional setting is needed if your installation is connecting to a remote database:

setsebool -P httpd_can_network_connect_db on

Allow access to LDAP server
Use this setting to allow LDAP connections:

setsebool -P httpd_can_connect_ldap on

Allow access to remote network
Nextcloud requires access to remote networks for functions such as Server-to-Server sharing, external storages or the app store. To allow this access use the following setting:

setsebool -P httpd_can_network_connect on

Allow access to network memcache
This setting is not required if httpd_can_network_connect is already on:

setsebool -P httpd_can_network_memcache on

Allow access to SMTP/sendmail
If you want to allow Nextcloud to send out e-mail notifications via sendmail you need to use the following setting:

setsebool -P httpd_can_sendmail on

Allow access to CIFS/SMB
If you have placed your datadir on a CIFS/SMB share use the following setting:

setsebool -P httpd_use_cifs on

Allow access to FuseFS
If your data folder resides on a Fuse Filesystem (e.g. EncFS etc), this setting is required as well:

setsebool -P httpd_use_fusefs on

Allow access to GPG for Rainloop
If you use a the rainloop webmail client app which supports GPG/PGP, you might need this:

setsebool -P httpd_use_gpg on

Troubleshooting
For general Troubleshooting of SELinux and its profiles try to install the package setroubleshoot and run:

sealert -a /var/log/audit/audit.log > /path/to/mylogfile.txt

to get a report which helps you configuring your SELinux profiles.

Another tool for troubleshooting is to enable a single ruleset for your Nextcloud directory:

semanage fcontext -a -t httpd_sys_rw_content_t '/var/www/html/nextcloud(/.*)?'
restorecon -RF /var/www/html/nextcloud

It is much stronger security to have a more fine-grained ruleset as in the examples at the beginning, so use this only for testing and troubleshooting. It has a similar effect to disabling SELinux, so don’t use it on production systems.

Gowind001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nextcould20版本集成ldap,实现账号一致性
CN_Eden
05-06 816
一、搭建ldap服务 1、使用容器方式搭建 docker run -p 389:389 --name myopenldap \ --network bridge --hostname openldap-host \ --env LDAP_ORGANISATION="mylitboy" --env LDAP_DOMAIN="mylitboy.com" \ --env LDAP_ADMIN_PASSWORD="ldap123" --detach osixia/openldap 解释: 配置LDAP
selinux管理与应用
iteye_3782的博客
09-12 485
1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo...
笔记 :SElinux基础知识
alex_ID的专栏
04-12 583
SElinux体系简介   (详见百科) 背景: RHEL6.2  selinux基于默认的 targeted 策略 只关注安全上下文中的元素中的类型 selinux模式 1.Enforcing   //强制 2.Permissive  //警告   (但还是让你通过) 3.Disabled      //关闭 #cat /etc/sysconfig/selinux
Nextcloud部署+LDAP接入
weixin_45027237的博客
03-30 967
Nextcloud私有云+LDAP
Docker搭建nextcloud+onlyoffice+ldap+smb协作编辑
weixin_46516921的博客
02-24 1912
点击应用,找到ONLYOFFICE,LDAO user group groupbackend,External storge support,安装后启用,进入管理设置可以看到LDAP/AD集成,外部存储,ONLYOFFICE代表成功。没有这几个应用的直接进这个网址下载下来,然后放到/data/docker/nextcloud/apps/ 里面进行解压即可。成功后进入mysql容器,创建数据库,这里的数据库名为nextcloud_db。主机:smb服务器ip,端口是(136或者445),一般不用端口就可以。
Docker系列 深度使用nextcloud(九) 硬盘挂载
huangwb8的博客
01-08 4000
基于《Docker系列 搭建个人云盘服务nextcloud》,相信无论是在有/无443端口的Linux机子里均可成功安装Nextcloud。值得一提的是,Nextcloud是一个被频繁维护和更新的应用,而且Nextcloud官方也在积极维护着自己的镜像。一般而言,开发者是为修复bug、增加特性、提升安全性、提升性能等目的才会更新应用的;因此,在绝大多数情况下,成功升级Nextcloud基本上都是好处。对于普通的docker应用,可以用下面的策略进行升级:然而,Nextcloud不太可能通过该方法成功升级。此
nextcloud部署文档
08-15
同时,需要关闭防火墙和 SELinux,以确保 Nextcloud 的正确安装和运行。 安装依赖组件 首先,需要安装一些必要的组件,包括 vim、wget、tree 和 unzip。然后,需要安装 epel-release,以获取更多的软件包。接着,...
SELinux手册 电子书 pdf 英文
最新发布
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
redhat 7 官档之selinux 日语版
10-22
redhat 7 官方文档之selinux日语版,我填这个的时候页面报错说资源描述不能少于五十个字节。
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
Nextcloud集成Active Directory(AD)LDAP用户身份验证
allway2的博客
10-29 6835
1.概述 Nextcloud可以与身份管理解决方案(例如LDAP应用程序或Active Directory)集成在一起,以便LDAP或Active Directory上的用户可以出现在我们的Nextcloud用户列表中。这些用户将使用其LDAP或Active Directory凭据对Nextcloud进行身份验证。我们不必在Nextcloud上创建单独的用户帐户。我们仍然可以像其他Nextcloud用户一样在Nextcloud配额和共享权限中管理其组成员身份。 本文将演示如何将Nextcloud与.
Linux搭建Nextcloud,打造属于您的专属网盘
zhangyuxun3的博客
04-02 5623
编写初衷 没有人生下来天生就是会计算机的,就拿笔者来说的话,也是从Windows->Centos->Ubuntu一步一步慢慢学习,积累下来的。为了让大家能够更快更高效率的学习,从今天开始,我将每天深入教您1个命令,让我们一起live and study,积少成多! 安装方法(可供参考) 1首先查看防火墙和selinux是否关闭 getenforce systemctl status firewalld 2安装nginx yum -y install nginx 3安装php7.1
Linux安装nextcloud教程,CentOS7 – 安装NextCloud
weixin_39585886的博客
05-02 299
通过PhpMyAdmin,为NextCloud新建一个数据库。接见地址为 http://IP地址/phpmyadmin/下载最新版本的的NextCloud,我的下完是18.0.3版本的。wget https://download.nextcloud.com/server/releases/latest.tar.bz2在下载的位置,解压文件。tar -jxvf latest.tar.bz2将解压的文...
Linux开启SELinux的情况下怎么解决nginx403跟502错误以及打开非http端口
hjxisking的专栏
05-14 513
先说下SElinux是什么,其实我也看不太懂,不过我了解了一点规则 先说下两个命令跟参数 ps -Z ls -Z 注意Z参数可以显示出SElinux的信息 如下图红圈,第一个是进程的SElinux信息,第二个是文件的SElinux,system_u是用户,object_r是用色,http_t是类型,这个类型比较重要,其它的好像没啥影响 就直接点说nginx来说,这个进程只能访问httpd_sys_content_t类型的文件,所以如果出现403的话,就是你的www目录的类型不对,所以得把www目
selinux造成虚拟目录文件无法访问
12-25 1500
一.输入网站页面文件,显示无权限访问。 日志中查看显示没有权限 AH00035: access to /index.html denied (filesystem path '/home/www/test/index.html') because search permissions are missing on a component of 1.可以直接关闭就好了 setenforce ...
部署Nextcloud+Onlyoffice
xiaochenwj1995的博客
11-14 4205
一、LAMP方式安装 环境准备 centos7.7 操作系统:cnetos7.7 4核4G 40G硬盘 数据库版本:MariaDB10.2.37 php版本:php7.3 Apache版本:httpd 2.4.6 1、安装前准备 关闭防火墙 systemctl stop firewalld.service systemctl disable firewalld.service 关闭SElinux ##临时关闭 setenforce 0 vim /etc/selinux/config ##把SELNUX
Centos7 搭建开源个人网盘Nextcloud与常用插件
热门推荐
夏冬丶王阳旭
05-28 8万+
文件服务器,是一个公司最常用的服务应用,每个公司企业基本都有自己的文件服务器实,现储存分享,上传下载文件文档等功能,常见的文件服务器就是ftp服务器,但是ftp服务器的功能实在有限,且对于普通用户使用入手难度较大,又缺乏界面,对于公司的普通用户来说,确实不是一个好的文件服务器。一般ftp也只是用户服务器,网站应用等方面。 在目前的公司企业环境中,企业网盘则是一个更好的文件服务器替...
如何在 CentOS 7 中使用 Nginx 和 PHP7-FPM 安装 Nextcloud
weixin_34122810的博客
05-25 805
Nextcloud 是一款自由 (开源) 的类 Dropbox 软件,由 ownCloud 分支演化形成。它使用 PHP 和 JavaScript 编写,支持多种数据库系统,比如 MySQL/MariaDB、PostgreSQL、Oracle 数据库和 SQLite。它可以使你的桌面系统和云服务器中的文件保持同步,Nextcloud 为 Windows、...
centos8安装nextcloud和onlyoffice
05-01
安装 Nextcloud: 1. 安装 LAMP 或 LEMP 环境(推荐使用 LEMP) ```bash # 安装 epel-release 和 nginx sudo dnf install -y epel-release sudo dnf install -y nginx # 安装 MariaDB sudo dnf install -y mariadb-server mariadb # 启动 MariaDB sudo systemctl start mariadb # 设置 MariaDB 开机自启 sudo systemctl enable mariadb # 运行 MySQL 安全策略 sudo mysql_secure_installation # 安装 PHP-FPM 和相关的扩展 sudo dnf install -y php-fpm php-opcache php-gd php-mysqlnd php-json php-mbstring php-xml php-zip php-intl php-curl ``` 2. 安装 Nextcloud ```bash # 添加 Nextcloud 的存储库 sudo dnf install -y https://download.nextcloud.com/server/releases/nextcloud-22.2.0-1.noarch.rpm # 安装 Nextcloud sudo dnf install -y nextcloud # 配置 SELinux sudo setsebool -P httpd_can_network_connect_db 1 # 配置 Nginx sudo cp /usr/share/doc/nextcloud-22.2.0-1/nginx.example.conf /etc/nginx/conf.d/nextcloud.conf sudo vi /etc/nginx/conf.d/nextcloud.conf # 在 server {} 块中添加以下内容 location /nextcloud { alias /usr/share/webapps/nextcloud/; try_files $uri $uri/ /nextcloud/index.php?$query_string; location ~ ^/nextcloud/(?:build|tests|config|lib|3rdparty|templates|data)/ { deny all; } location ~ ^/nextcloud/(?:\.|autotest|occ|issue|indie|db_|console) { deny all; } location ~ ^/nextcloud/(?:index|remote|public|cron|core/ajax/update|status|ocs/v[12]|updater/.+|ocs-provider/.+|core/templates/40[34])\.php(?:$|/) { fastcgi_split_path_info ^(.+\.php)(/.*)$; try_files $fastcgi_script_name =404; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param HTTPS on; fastcgi_param modHeadersAvailable true; fastcgi_param front_controller_active true; fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_intercept_errors on; fastcgi_request_buffering off; fastcgi_read_timeout 300; } } # 重新加载 Nginx 配置 sudo systemctl reload nginx # 配置数据库 sudo mysql -u root -p CREATE DATABASE nextcloud; CREATE USER 'nextcloud'@'localhost' IDENTIFIED BY 'password'; GRANT ALL PRIVILEGES ON nextcloud.* TO 'nextcloud'@'localhost'; FLUSH PRIVILEGES; exit # 初始化 Nextcloud sudo -u http /usr/bin/php /usr/share/webapps/nextcloud/occ maintenance:install --database "mysql" --database-name "nextcloud" --database-user "nextcloud" --database-pass "password" --admin-user "admin" --admin-pass "password" ``` 3. 配置 HTTPS ```bash # 安装 Certbot sudo dnf install -y certbot python3-certbot-nginx # 获取证书 sudo certbot --nginx -d example.com # 自动更新证书 sudo vi /etc/crontab # 在最后添加以下内容 0 0 1 * * root /usr/bin/certbot renew --quiet && systemctl reload nginx ``` 安装 OnlyOffice: 1. 安装 Docker ```bash # 安装 Docker sudo dnf install -y dnf-plugins-core sudo dnf config-manager --add-repo=https://download.docker.com/linux/centos/docker-ce.repo sudo dnf install -y docker-ce docker-ce-cli containerd.io # 启动 Docker sudo systemctl start docker # 设置 Docker 开机自启 sudo systemctl enable docker ``` 2. 安装 OnlyOffice ```bash # 创建目录 sudo mkdir -p /app/onlyoffice/DocumentServer/data # 创建 Docker 网络 sudo docker network create onlyoffice # 运行 OnlyOffice sudo docker run -i -t -d --restart=always --network=onlyoffice --name onlyoffice-document-server -v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data onlyoffice/documentserver:latest # 配置 Nginx 反向代理 sudo vi /etc/nginx/conf.d/onlyoffice.conf # 添加以下内容 upstream onlyoffice { server 127.0.0.1:80; } server { listen 80; server_name onlyoffice.example.com; # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response. return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name onlyoffice.example.com; # SSL configuration ssl_certificate /etc/letsencrypt/live/onlyoffice.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/onlyoffice.example.com/privkey.pem; # SSL session caching ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; # SSL security ssl_protocols TLSv1.2 TLSv1.3; # OnlyOffice proxy location / { proxy_pass http://onlyoffice; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } # 重新加载 Nginx 配置 sudo systemctl reload nginx ``` 3. 配置 Nextcloud ```bash # 安装 OnlyOffice 应用 sudo -u http php /usr/share/webapps/nextcloud/occ app:install onlyoffice # 配置 OnlyOffice sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice DocumentServerUrl --value="https://onlyoffice.example.com" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice DocumentServerInternalUrl --value="http://onlyoffice" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice StorageUrl --value="/nextcloud/remote.php/webdav/" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice StorageUrl --value="/nextcloud/remote.php/webdav/" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice DisableConfig --value="false" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice ForceSave --value="true" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice Secret --value="secret" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice JWTSecret --value="jwtsecret" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice JWTHeader --value="Authorization" sudo -u http php /usr/share/webapps/nextcloud/occ config:app:set onlyoffice VerifyPeerOff --value="true" ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值