台灣最大程式設計社群網站
線上人數
1601
 
會員總數:246478
討論主題:189985
歡迎您免費加入會員
討論區列表 >> Linux / Unix >> 為何進入網頁會出現sellinux
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
為何進入網頁會出現sellinux
價值 : 10 QP  點閱數:2508 回應數:2
樓主

肉鬆
門外漢
0 13
158 16
發送站內信

為何進入網頁會出現sellinux
內容顯示
摘要SELinux prevented httpd reading and writing access to http files.

詳細描述SELinux prevented httpd reading and writing access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the httpd_unified turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read-only content, it needs to be labeled httpd_TYPE_content_t, it is writable content. it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these contexts. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types.

允許存取Changing the "httpd_unified" boolean to true will allow this access: "setsebool -P httpd_unified=1"
修復指令setsebool -P httpd_unified=1
額外資訊
來源 Context:  unconfined_u:system_r:httpd_t:s0
目標 Context:  unconfined_u:object_r:httpd_sys_content_t:s0
目標物件:  ./config.php [ file ]
來源:  httpd
來源路徑:  /usr/sbin/httpd
通訊埠:  
<不明>主機:  
HJGS來源
RPM 套件:  httpd-2.2.10-2
目標 RPM 套件:  
政策 RPM:  selinux-policy-3.5.13-18.fc10Selinux 已啟用:  True
政策類型:  targetedMLS 已啟用:  True
強制模式:  Enforcing
插件名稱:  httpd_unified
主機名稱:  HJGS平台:  Linux HJGS 2.6.27.5-117.fc10.i686 #1 SMP Tue Nov 18 12:19:59 EST 2008 i686 i686
警示計數:  12第一次看見:  西元2009年02月28日 (週六) 14時36分57秒
最後一次看見:  西元2009年03月02日 (週一) 15時10分23秒本地 ID:  2166131d-fba1-4506-b9dc-880e9f27d48c行列編號:  原始稽核訊息 :node=HJGS type=AVC msg=audit(1235977823.643:223): avc: denied { write } for pid=12248 comm="httpd" name="config.php" dev=sda5 ino=1782625 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_sys_content_t:s0 tclass=file node=HJGS type=SYSCALL msg=audit(1235977823.643:223): arch=40000003 syscall=33 success=no exit=-13 a0=b9b068d4 a1=2 a2=f98938 a3=fbad01 items=0 ppid=12246 pid=12248 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)

本篇文章發表於2009-03-03 15:33
1樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
因為SELinux有啟動
錯誤訊息寫著啥,我就不再翻譯

詳設起來很麻煩,你乾脆關掉SELinux吧
去改/etc/selinux/config
本篇文章回覆於2009-03-03 21:23
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
最有價值解答

towns
捐贈 VP 給 towns 檢舉此回應
1.這段說明中,有明確的告訴你改變httpd_unified為allow,並使用setsebool指令來修改
Changing the "httpd_unified" boolean to true will allow this access: "setsebool -P httpd_unified=1"

2.修改該資料匣/usr/sbin/httpd,的Context為unconfined_u:object_r:httpd_sys_content_t:s0

相關資料可以參考一下http://www.blueshop.com.tw/article/show.asp?cde=ATL20060626105822OHT
小青蛙目前還沒有正確的去測試,先參考一下,並自己修改一下,下次如果測試ok了,我再將資料放上來
本篇文章回覆於2009-03-05 10:17
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.