標籤:style blog class c tar ext
在配置apache服務時經常遇到DocumentRoot must be a directory的錯誤提示,剛接觸到apache時折騰了幾個小時才找到錯誤的原因,出現這樣的錯誤一般都是由於selinux的原因。
SELinux(Security-Enhanced Linux) 是美國國家安全域(NSA)對於強制存取控制的實現,是 Linux® 上最傑出的新安全子系統。NSA是在Linux社區的協助下開發了一種存取控制體系,在這種存取控制體系的限制下,進程只能訪問那些在他的任務中所需要文 件。SELinux 預設安裝在 Fedora 和 Red Hat Enterprise Linux 上,也可以作為其他發行版上容易安裝的包得到。
Apache - "Document root must be a directory" 問題?
有可能和這個問題並發的問題還有 403 Forbidden 禁止訪問的問題。
現象描述:
不使用系統預設的 /var/www/html作為系統的Document Root,自己建立一個目錄後修改
/etc/httpd/conf/httpd.conf 中的配置,然後重起Apache的Daemon,發現Apache無法起動,系統報錯:
檢查 avcmessage,查看 /var/log/messages檔案,發現有類似以下內容的這樣一段:
Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:
denied{ getattr } forpid=19029 exe=/usr/sbin/httpd
path=/var/www/html/about.html dev=dm-0 ino=373900
scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t
tclass=file
用
#semanage fcontext -l | grep ‘/var/www‘
獲知預設/var/www目錄的 SELinux 上下文:/var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0從中可以看到 Apache 只能訪問包含httpd_sys_content_t標籤的檔案。
假設要Apache 使用/www作為網站檔案目錄,那麼就需要給這個目錄下的檔案增加httpd_sys_content_t標籤,分兩步實現。
首先為 /www 這個目錄下的檔案添加預設標籤類型:
#semanage fcontext -a -t httpd_sys_content_t‘/srv/www(/.*)?‘
然後用新的標籤類型標註已有檔案:
#restorecon -Rv /srv/www
之後 Apache 就可以使用該目錄下的檔案構建網站了。
解決辦法2:
很簡單,把目錄或檔案的策略類型改成 httpd_sys_content_t 就可以了。
# chcon -t httpd_sys_content_t [file_name | dir_name]
# chcon -R -h -t httpd_sys_content_t /www
然後可以用 ls -laZ 命令查看檔案目錄的策略類型。(T002)
解決方案3:
關掉selinux
#setenforce 0
解決方案4:
或者更改/root/website這個檔案的selinux屬性,讓它匹配httpd這個伺服器的要求
怎麼改?我們可以複製/var/www/html這個目錄的selinux屬性
#chcon -R --reference /var/www/html /root/website
然後在重啟服務,之後你就看到它沒有報錯了
不過你去訪問localhost的時候,會發現訪問拒絕 這是為什麼呢?主要是因為你的/root的許可權是750,ahache這個使用者沒有許可權訪問,你需要更改掉許可權,可以這樣改
#chmod -R 755 /root
然後去訪問 發現正常了
延伸閱讀:SELinux簡介
RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在於整合了SELinux的支援。
SELinux的全稱是Security-Enhanced Linux,是由美國國家安全域NSA開發的存取控制體制。
SELinux可以最大限度地保證Linux系統的安全。至於它的作用到底有多大,舉一個簡單的例子可以證明:
沒有SELinux保護的Linux的安全層級和Windows一樣,是C2級,但經過保護SELinux保護的Linux,安全層級
則可以達到B1級。如:我們把/tmp目錄下的所有檔案和目錄使用權限設定為0777,這樣在沒有SELinux保護的情
況下,任何人都可以訪問/tmp 下的內容。而在SELinux環境下,儘管目錄許可權允許你訪問/tmp下的內容,
但SELinux的安全性原則會繼續檢查你是否可以訪問。
NSA推出的SELinux安全體繫結構稱為 Flask,在這一結構中,安全性策略的邏輯和通用介面一起封裝在與
作業系統獨立的組件中,這個單獨的組件稱為安全伺服器。SELinux的安全伺服器定義了一種混合的安全性
策略,由類型實施 (TE)、角色型存取控制 (RBAC) 和多級安全(MLS) 組成。通過替換安全伺服器,可
以支援不同的安全性原則。SELinux使用原則配置語言定義安全性原則,然後通過checkpolicy 編譯成二進位形
式,儲存在檔案(如目標策略/etc/selinux/targeted/policy/policy.18)中,在核心引導時讀到核心空間
。這意味著安全性策略在每次系統引導時都會有所不同。
SELinux的策略分為兩種,一個是目標(targeted)策略,另一個是嚴格(strict)策略。有限策略僅針對部分
系統網路服務和進程執行SELinux策略,而嚴厲策略是執行全域的NSA預設策略。有限策略模式下,9個(可
能更多)系統服務受SELinux監控,幾乎所有的網路服務都受控。
設定檔是/etc/selinux/config,一般測試過程中使用“permissive”模式,這樣僅會在違反SELinux規
則時發出警告,然後修改規則,最後由使用者覺得是否執行嚴格“enforcing”的策略,禁止違反規則策略的
行為。
規則決定SELinux的工作行為和方式,策略決定具體的安全細節如檔案系統,檔案一致性。
在安裝過程中,可以選擇“啟用”、“警告”或者“關閉”SELinux。預設設定為“啟用”。
安裝之後,可以在“應用程式”-->“系統設定”-->“安全層級”,或者直接在控制台視窗輸入“system
-config- securitylevel”來開啟“安全層級”設定視窗。在“SELinux”選項頁中,我們不但可以設定“
啟用”或者“禁用”SELinux,而且還可以對已經內建的SELinux策略進行修改。
SELinux相關命令:
ls -Z
ps -Z
id -Z
分別可以看到檔案,進程和使用者的SELinux屬性。
chcon 改變檔案的SELinux屬性。
getenforce/setenforce查看和設定SELinux的當前工作模式。
修改設定檔/etc/selinux/config後,需要重啟系統來啟動SELinux新的工作模式。
http://dadait.blog.163.com/blog/static/3207916201361122548407/