web-dev-qa-db-ja.com

Centos 7.4でApacheのSelinuxのみを無効にする方法

Selinuxを無効にしたくありませんが、問題があります。私はFFMPEG(/ var/www/tester/ffmpegにあり、Apacheが所有)を使用しています

[root@betaX tester]# ls -Z /var/www/html/tester/ffmpeg/
-rwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 ffmpeg
-rwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 ffmpeg-10bit
-rwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 ffprobe
-rwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 ffserver
drwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 manpages
drwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 model
-rwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 qt-faststart

しかし、ffmpegを実行しようとするたびに

{ffmpeg-cmd} -i {input} -vcodec libx264 -s {ffmpeg-vsize} -threads 16 -movflags faststart {output}.mp4

権限拒否エラーが発生しています。

[root@betaX tester]# tail -f /var/log/httpd/error_log
sh: /var/www/html/tester/ffmpeg/ffmpeg: Permission denied

多くの時間がかかるので、Apacheに対してのみSelinuxを無効にしたいのですが、Centos 7.xでそれを行う方法はありますか? Fedoraで解決策を見つけましたが、/etc/selinux/targeted/booleansというフォルダーまたはファイルがありません。

手がかりや提案はありますか?

現在の設定

[root@betaX tester]# /usr/sbin/getsebool -a | grep httpd
httpd_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_connect_ftp --> off
httpd_can_connect_ldap --> off
httpd_can_connect_mythtv --> off
httpd_can_connect_zabbix --> off
httpd_can_network_connect --> off
httpd_can_network_connect_cobbler --> off
httpd_can_network_connect_db --> off
httpd_can_network_memcache --> off
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_dbus_avahi --> off
httpd_dbus_sssd --> off
httpd_dontaudit_search_dirs --> off
httpd_enable_cgi --> off
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> off
httpd_execmem --> on
httpd_graceful_shutdown --> on
httpd_manage_ipa --> off
httpd_mod_auth_ntlm_winbind --> off
httpd_mod_auth_pam --> off
httpd_read_user_content --> off
httpd_run_ipa --> off
httpd_run_preupgrade --> off
httpd_run_stickshift --> off
httpd_serve_cobbler_files --> off
httpd_setrlimit --> off
httpd_ssi_exec --> on
httpd_sys_script_anon_write --> off
httpd_tmp_exec --> off
httpd_tty_comm --> off
httpd_unified --> off
httpd_use_cifs --> off
httpd_use_fusefs --> off
httpd_use_gpg --> off
httpd_use_nfs --> off
httpd_use_openstack --> off
httpd_use_sasl --> off
httpd_verify_dns --> off
apache-2.4centos7selinux
2
Lunatic Fnatic

問題は、誤ってラベル付けされた実行可能ファイルが原因です。

それらをhttp_sys_script_exec_tに再ラベル付けします( semanage fcontext および restorecon を参照):

semanage fcontext -a -t http_sys_script_exec_t '/var/www/html/tester/ffmpeg/.*'
restorecon -Rv /var/www/html/tester/ffmpeg/

完全を期すために、ApacheのSELinuxを無効にする方法は次のとおりです( semanage permissive を使用):

semanage permissive -a httpd_t
6
fuero

拒否された許可を修正するためにシーラートを使用できます。

# sealert -a /var/log/audit/audit.log
0
l10nn