[頂]解決SELinux對網站目錄權限控制的不當的問題 20

前言：本文主要介紹了因爲SELinux對網站目錄權限控制的不當而引起網站無法正常操作和訪問的問題。

正文開始：今天下午閒着沒有事做於是突然興起想嘗試安裝下Drupal。以前用Wordpress做博客久了，總想着嚐嚐新。

按照Installtion Guide提示的安裝步驟進行操作如下：

一切準備就緒！就等着進網站目錄進行下一步配置了！

不幸的是，在瀏覽器中打開網站的目錄後就遭遇了httpd的403拒絕訪問提示。

這很顯然，根據以往的經驗可以判斷是目錄權限存在問題。

爲了驗證這一說法，我們可以檢查httpd的錯誤日誌。默認情況下日誌就存在在/var/log/httpd/目錄中。

[root@localhost ~]# grep Permission /var/log/httpd/error_log
[Tue Apr 10 09:07:04 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied
[Tue Apr 10 09:07:50 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied
[Tue Apr 10 09:08:07 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied
[Tue Apr 10 09:10:06 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied
[Tue Apr 10 09:11:08 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start/ denied
[Tue Apr 10 09:11:17 2012] [error] [client 127.0.0.1] (13)Permission denied: access to /start denied
[Tue Apr 10 09:11:34 2012] [error] [client ::1] (13)Permission denied: access to /start denied
[Tue Apr 10 09:13:35 2012] [error] [client ::1] (13)Permission denied: access to /start denied
[Tue Apr 10 09:13:51 2012] [error] [client ::1] (13)Permission denied: access to /start/site/default/ denied
[Tue Apr 10 09:13:57 2012] [error] [client ::1] (13)Permission denied: access to /start/sites denied
[Tue Apr 10 09:14:51 2012] [error] [client ::1] (13)Permission denied: access to /start/install.php denied
[Tue Apr 10 09:18:57 2012] [error] [client ::1] (13)Permission denied: access to /start/install.php denied
[root@localhost ~]#

再檢查網站目錄和文件的權限。爲方便起見直接用-lZ選項。用於顯示詳細信息和SELinux權限信息

[root@localhost html]# ls -lZ
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 archive.html
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog_backup
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog.htm
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 blog.html
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 css
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 home_page
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home_start #問題行
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 images
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.htm
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 info_php.php
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 js
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 log
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 php #以前的遺留問題
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 phpMyAdmin-3.4.10.1-all-languages
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 PSDs

顯然上面顯示的結果中的09、16兩行的權限與其他網站目錄不同。

再查看selinx的工作狀態，判斷是不是SELinux引起的。

這就是導致網站權限不正確的原因。

我猜測可能是在selinux啓用時對目錄或文件進行操作導致的。因爲最近我對SELinux進行了升級（以前沒有遇到）。

PS：最新的原因分析請參見《對SELinux權限發生變化的解釋》一文。

所以使用chcon更改SELinux權限以及顯示結果如下：

setenforce 0 #必須暫時停止SELinux，否則可能導致操作失敗。 
chcon -t httpd_sys_content_t -R /var/www/html/home_start/ #R參數是遞歸操作的意思

經過修改就會發現SELinux的對應權限已經和其他目錄相同了！都是httpd_sys_content_t。

[root@localhost html]# setenforce --help
usage: setenforce [ Enforcing | Permissive | 1 | 0 ]
[root@localhost html]# setenforce 0
[root@localhost html]# cd
[root@localhost ~]# ls /var/www/html/ -Z
……
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home_start
……
[root@localhost ~]# chcon -t httpd_sys_content_t -R /var/www/html/home_start/
[root@localhost ~]# ls /var/www/html/home_start/ -Z
……
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 authorize.php
……