我有一个需要从 php 调用的应用程序,但 selinux 阻止了该应用程序的 execmem。我想设置正确的上下文,而不是允许 bin_t 或 httpd_user_script_t execmem 访问。不幸的是,我没有在服务器上安装 imageimagick,我想复制相同的上下文。有人可以检查一下这个问题吗,或者告诉我在不打开服务器上的安全漏洞的情况下解决这个问题的最佳方法是什么。
答案1
从httpd_selinux(8)手册页来看,我认为其中一个上下文就足够了,具体取决于您的配置:
httpd_exec_t - Set files with the httpd_exec_t type, if you want to transition an executable to the httpd_t domain.
httpd_suexec_exec_t - Set files with the httpd_suexec_exec_t type, if you want to transition an executable to the httpd_suexec_t domain.