SELinux 阻止apache用户写入其拥有的日志文件。当我setenforce 0这样做时,它起作用了。否则会显示此错误
IOError: [Errno 13] Permission denied: '/var/www/webapp/k/site/k.log'
该文件的安全上下文:
$ ll -Z k.log
-rw-r--r--. apache apache system_u:object_r:httpd_sys_content_t:s0 k.log
该文件是在 SELinux 模式设置为宽容时创建的。
如何设置安全上下文以便apache用户可以在该目录中写入?我确实使用设置了该目录安全上下文,chcon但我找不到合适的文件类型。
从audit.log:
type=AVC msg=audit(1409945481.163:1561): avc: denied { append } for pid=16862 comm="httpd" name="k.log" dev="dm-1" ino=201614333 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=file
type=SYSCALL msg=audit(1409945481.163:1561): arch=c000003e syscall=2 success=no exit=-13 a0=7fa8080847a0 a1=441 a2=1b6 a3=3 items=0 ppid=15256 pid=16862 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)
答案1
对于您希望 Apache 能够写入的文件,类型必须设置为httpd_sys_rw_content_t。
答案2
如前所述,您应该指示 SELINUX 允许写入该文件。正确的做法是将其标记/var/www/webapp/k/site/为类型httpd_sys_rw_content_t
要永久标记该目录为httpd_sys_rw_content_t,您可以使用命令semanage fcontext -a -t httpd_sys_rw_content_t /var/www/webapp/k/site(/.*)?; restorecon -RF /var/www/webapp/k/site/
这将在 SELINUX 二进制策略更新和文件系统重新标记后继续存在。
答案3
这将改变权限:
chcon --type httpd_sys_rw_content_t /var/www/webapp/k/site/k.log
答案4
@shodanshok 的答案有效,除了我必须从我的答案中删除括号,然后一切正常......
semanage fcontext -a -t
httpd_sys_rw_content_t
/var/www/myfolder/.*?; restorecon -RF
/var/www/myfolder