SELinux检查与Apache HTTP服务器的文件访问典型错配案例及解决

最新推荐文章于 2020-10-31 20:13:35 发布
最新推荐文章于 2020-10-31 20:13:35 发布
阅读量699 收藏 2
点赞数
分类专栏: Linux 文章标签: SELinux denied audit chcon semanage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taiyangdao/article/details/96044409
版权

在CentOS 7.5配置Apache HTTP服务器后,看到如下错误:

Permission denied

查看Apache HTTP服务器的错误日志/var/log/httpd/error_log如下:

[Wed May 06 23:00:54 2019] [error] [client 127.0.0.1] (13) Permission denied: access to /www/t.txt denied

查看SELinux的审计日志如下:

[root@myhost ~]# grep denied /var/log/audit/audit.log
type=AVC msg=audit(1415715270.766:31): avc:  denied  { getattr } for  pid=1380 comm="httpd" path="/www/t.txt" dev=vda1 ino=1084 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file

通过审计日志,我们看到Apache进程的scontext type为httpd_t,而被请求对象的tcontext type为default_t,所以Apache进程访问/www/t.txt文件被拒绝。

执行grep 1415715270.766:31 /var/log/audit/audit.log | audit2why命令,让audit2why帮助我们找到解决办法。该命令给出建议:
        You can use audit2allow

最低0.47元/天 解锁文章
易生一世
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ApacheSELinux
我是个程序员
01-05 6427
配置Apache经常遇到的一个问题就是,Permission Denied,奇怪之处在于,我已经把owner:group都设置成apache,并且各级目录的访问权限也都正确设置,仍然还是在进行文件操作的时候Permission Denied.问题的真正原因一般出在SELinux上。SELinux是「Security-EnhancedLinux」的简称,是美国国家安全局「NSA=The Na
解决SELinux导致Apache无法访问文件
SchRHT Blog
01-19 1121
问题描述 RHEL8服务器安装有Apache文件访问用,数据卷是/dev/sdb挂载在/nfs下,要从网站访问的内容存在于/nfs/perf-insight/路径下,在Apache默认路径下设有同名软连接即/var/www/html/perf-insight/。 访问网站提示“Forbidden”,查询错误日志/var/log/httpd/error_log提示如下: [Tue Jan 19 16:38:25.344744 2021] [autoindex:error] [pid 6095:tid 139
关于http服务器selinux权限设置
L_yangliu的专栏
03-06 3299
有时候也用PHP做WEB开发,但很多时候不是纯的web开发,所以有时候会有一种需求:通过http远程修改服务器当中的任意文件。 后面通过sip服务器的freepbx和fusionpbx搞清楚了一件事,就是只需要把相关目录设为同一个用户组就可以达到我的目的。事实也的确是这样的,比如apache以apahce:apache的权限运行,那么只有你把相关文件,也就是你想通过http修改的任意文件的所有权
Selinux结合Apache使用
seward
10-11 1017
身份 角色 域(类型) 身份 角色 域 小明 男性 进去男厕所 小红 女性 进去女厕所 启用selinux  setup 修改配置文件 #vim /etc/selinux/config SELINUX=enforcing SELINUXTYPE=targeted 为了保证审计正常和某些图形管理工具正常,
apache 遇到拒绝访问 可能是selinux造成
sandykun
05-04 378
                apache 遇到拒绝访问 可能是selinux造成,解决办法:                 vi /etc/selinux/config  
如何解决SELinux阻止虚拟机访问文件
01-09
我尝试访问主机系统上的一个文件,但SELinux阻止虚拟化访问除了/var/lib/libvirt/images里的其他文件。当在共享路径上宿主的虚拟机运行时,主机给出以下信息:SELinux is preventing /usr/bin/qemu-kvm from read ...
RedHat SELinux系统简介及案例分析
08-10
RedHat SELinux系统简介及案例分析 RedHat Enterprise Linux AS 3.0/4.0 中 security 方面的最大变化就在于集成了 SELinux 的支持。SELinux 的全称是 Security-Enhanced Linux,是由美国国家安全局 NSA 开发的访问...
FTP服务器SELinux的关系
01-09
FTP服务器SELinux的关系 Linux第6次作业 1.使用匿名用户登录(setenforce 0) 打开主配置文件 [root@linzefeng ~]# vim /etc/vsftpd/vsftpd.conf 更改第12行 设置anonymous_enable=YES就可以启动匿名用户登录了 ...
Linux下Apache服务器的配置和应用
最新发布
08-02
Apache服务器在Linux环境下的配置与应用】 Apache服务器是世界上最流行的Web服务器软件之一,尤其在Linux操作系统中,它被广泛用于搭建网站和服务。本篇主要介绍如何在Linux系统下配置Apache服务器,包括建立个人...
Linux下SVN服务器同时支持Apachehttp和svnserve独立服务器两种模式且使用相同的访问权限账号
01-20
2、配置SVN服务同时支持Apachehttp和svnserve独立服务器两种模式访问; 3、Apachehttp和svnserve独立服务器两种模式使用相同的访问权限账号。 具体操作: 一、关闭SELINUX vi /etc/selinux/config #SELINUX=...
SELinux修改文件上下文:
北游的日常
04-26 2303
修改文件上下文:以访问Apache返回Forbidden为例,非/var/www/目录的虚拟主机)Apache路径(/var/www/)的上下文为httpd_sys_content_t下面介绍三种方法,详见下文。暂时性修改:方法一:(直接修改上下文)       chcon-R -thttpd_sys_rw_content_t /http_vhost_te...
Selinux详细讲解及相关的配置
BLXH-AS
02-08 1万+
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ;如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制...
一个Apache访问权限问题(万恶的SELinux
ncafei的博客
11-13 4461
原文见我的博客:http://renyongjie668.blog.163.com/blog/static/160053120115942137511/ 前几天,我搞了个准备一些git或者hg的repositories,为了网页访问的方便,我找到了其中一 个工具,Git自带的gitweb,但是当我把它作为CGI让apache调用它去发布/home/repo/pub目录时,不管怎样都访问不到
SElinux 设置与HTTP服务结合
weixin_33815613的博客
11-12 728
SElinux是基于MAC策略的。 DAC:Discretionary Access Control自由访问控制 MAC:Mandatory Access Control 强制访问控制 • DAC环境下进程是无束缚的 • MAC环境下策略的规则决定控制的严格程度 • MAC环境下进程可以被限制的 • 策略被用来定义被限制的进程能够使用那些资源(文件和端...
SELinux 设置 httpd 上传文件目录权限
weixin_34014555的博客
03-18 887
2019独角兽企业重金招聘Python工程师标准>>> ...
浅谈SElinuxhttpd服务打不开指定页面(显示httpd服务程序默认首页面)的问题
m0_46314654的博客
10-31 1502
先来做个实验 修改httpd网站数据保存目录【默认为/var/www/html 修改为 /home/wwwroot】1.建立目录,并创建首页文件 mkdir /home/wwwroot echo "BB" > /home/wwwroot/index.html 2.修改httpd主配置文件。 将119行DocumentRoot参数改为/home/wwwroot 将124行用于定义目录权限参数Directory 改为/home/wwwroot vim /etc/httpd/conf/httpd...
linux下selinux介绍及相关命令操作
会飞的鱼的博客
05-11 3465
selinux是什么?SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是一种基于域-类型模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中。传统的Linux权限控制采用自主式权限控制(Discretionary Access Control, DAC),依据程序拥有者和资源的...
SELinux audit2allow命令使用
热门推荐
dk_work的博客
05-22 1万+
解决方案: 首先将我们的报错avc日志拷出来做成一个avc.txt放在Ubuntu系统下面在终端中运行以下命令生成的avc.te文件就是我们的解决方法了。 audit2allow –i avc.txt >avc.te avc.txt avc: denied { create } for name="hsdi_tmp" scontext=u:r:system_app:s0 tcontext=u...
怎么检查SELinux文件版本是否与操作系统匹配
06-03
您可以通过以下命令检查SELinux文件版本是否与您的操作系统匹配: 1. CentOS/RHEL系统 ``` rpm -qi libselinux ``` 2. Debian/Ubuntu系统 ``` dpkg -s libselinux1 ``` 这些命令将输出SELinux文件的详细...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值