web-dev-qa-db-ja.com

SELinuxはApacheがファイルに書き込むのを防ぎます

SELinuxは、Apacheユーザーが所有するログファイルへの書き込みを禁止しています。私がする時 setenforce 0 できます。それ以外の場合は、このエラーが表示されます

IOError: [Errno 13] Permission denied: '/var/www/webapp/k/site/k.log'

ファイルのセキュリティコンテキスト:

$ ll -Z k.log 
-rw-r--r--. Apache apache system_u:object_r:httpd_sys_content_t:s0 k.log

このファイルは、SELinuxモードがpermissiveに設定されているときに作成されました。

Apacheユーザーがそのディレクトリに書き込むことができるようにセキュリティコンテキストを設定する方法chconを使用してそのディレクトリセキュリティコンテキストを設定しましたが、適切なファイルタイプが見つかりません。

audit.log

type=AVC msg=audit(1409945481.163:1561): avc:  denied  { append } for  pid=16862 comm="httpd" name="k.log" dev="dm-1" ino=201614333 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=file
type=SYSCALL msg=audit(1409945481.163:1561): Arch=c000003e syscall=2 success=no exit=-13 a0=7fa8080847a0 a1=441 a2=1b6 a3=3 items=0 ppid=15256 pid=16862 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)
12
Clodoaldo

Apacheに書き込みを許可するファイルの場合、タイプはhttpd_sys_rw_content_tに設定する必要があります。

10
Michael Hampton

すでに述べたように、そのファイルへの書き込みを許可するようにSELINUXに指示する必要があります。 _/var/www/webapp/k/site/_を_httpd_sys_rw_content_t_型としてマークするのが正しいことです

そのディレクトリを_httpd_sys_rw_content_t_として永続的にマークするには、コマンドsemanage fcontext -a -t httpd_sys_rw_content_t /var/www/webapp/k/site(/.*)?; restorecon -RF /var/www/webapp/k/site/を使用できます。これにより、SELINUXバイナリポリシーの更新とファイルシステムの再ラベル付けが行われます。

18
shodanshok

これにより、権限が変更されます。

chcon --type httpd_sys_rw_content_t /var/www/webapp/k/site/k.log
6
t0k3n1z3r