在 web 服務(wù)器管理領(lǐng)域，確保服務(wù)器環(huán)境的安全性至關(guān)重要。SELinux (Security-Enhanced Linux) 是保護(hù) Linux 服務(wù)器最有效的工具之一，它是一種強(qiáng)制訪問(wèn)控制 (MAC = mandatory access control) 安全機(jī)制。當(dāng)使用最流行的 web 服務(wù)器 Apache 提供 web 內(nèi)容時(shí)，正確配置 SELinux 對(duì)安全性和功能都至關(guān)重要。

本文將指導(dǎo)您完成配置 SELinux 以允許 Apache 服務(wù)新目錄的步驟，確保您的 web 內(nèi)容既安全又可訪問(wèn)。

理解 SELinux Contexts

在深入研究配置之前，有必要了解 SELinux 上下文。SELinux 為系統(tǒng)中的每個(gè)進(jìn)程和文件分配安全上下文。這些上下文用于定義管理訪問(wèn)控制的策略。要使 Apache 訪問(wèn)和提供來(lái)自新目錄的內(nèi)容，該目錄及其內(nèi)容必須具有適當(dāng)?shù)?SELinux 上下文。

httpd Contexts

對(duì)于 Apache 來(lái)說(shuō)，相關(guān)的 SELinux 上下文以 httpd 作為前綴。具體來(lái)說(shuō)，Apache 可以訪問(wèn)的文件通常被標(biāo)記為 httpd_sys_content_t 上下文。如果你正在處理 CGI 腳本或其他可執(zhí)行內(nèi)容，它們可能需要不同的上下文，比如 httpd_sys_script_exec_t。

Step 1: 確定默認(rèn) Context

首先，確定應(yīng)用于 Web 內(nèi)容目錄的默認(rèn)上下文，

Apache默認(rèn)內(nèi)容目錄通常是 /var/www/html，使用 ls -Z 命令查看 Selinux 上下文：

ls -Z /var/www/html

該命令將顯示默認(rèn) web 目錄的 SELinux 上下文，您需要將其應(yīng)用到新目錄。

Step 2: 為新目錄創(chuàng)建和設(shè)置 Context

確定正確的上下文后，創(chuàng)建新目錄并設(shè)置其 SELinux 上下文。例如，創(chuàng)建一個(gè)名為 /var/www/newsite 的新目錄，您將使用以下命令：

mkdir -p /var/www/newsite
semanage fcontext -a -t httpd_sys_content_t "/var/www/newsite(/.*)?"
restorecon -Rv /var/www/newsite

semanage fcontext 命令添加一條策略規(guī)則，將 httpd_sys_content_t 上下文分配給新目錄及其內(nèi)容。然后，restorerecon 命令根據(jù)策略規(guī)則應(yīng)用此上下文。

Step 3: 允許網(wǎng)絡(luò)連接

默認(rèn)情況下，SELinux 可能會(huì)阻止 Apache 進(jìn)行網(wǎng)絡(luò)連接，這可能是您的 web 應(yīng)用程序所必需的。為此，您需要調(diào)整 SELinux 策略，允許 Apache 進(jìn)程發(fā)起網(wǎng)絡(luò)連接。

setsebool -P httpd_can_network_connect on

Step 4: 驗(yàn)證配置

在配置 SELinux 之后，重要的是要驗(yàn)證 Apache 確實(shí)可以從新目錄提供內(nèi)容。在新目錄中創(chuàng)建一個(gè)簡(jiǎn)單的測(cè)試文件，并嘗試通過(guò) web 瀏覽器訪問(wèn)它。此外，可以使用 ausearch -m avc -ts recent 命令檢查任何 SELinux 拒絕訪問(wèn)，這可以幫助您解決任何問(wèn)題。

到此這篇關(guān)于如何給 Apache 新站點(diǎn)目錄配置 SELinux 的文章就介紹到這了,更多相關(guān) Apache 新站點(diǎn)目錄配置 SELinux 內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論