Как сменить корень документов в Apache/nginx в CentOS 7 и RHEL 7 с SELinux
По умолчанию для Apache, nginx и других http-серверов при использовании
SELinux в CentOS 7 и RHEL 7 область видимости ограничена директорией /var/www.
Для смены корня документов на /home/site следует включить новые директории в
правила httpd_sys_content_t и httpd_sys_script_exec_t.
Включаем временно:
chcon -R -t httpd_sys_content_t /home/site
chcon -R -t httpd_sys_script_exec_t /home/site/cgi-bin
Включаем постоянно:
semanage fcontext -a -t httpd_sys_content_t "/home/site(/.*)?"
semanage fcontext -a -t httpd_sys_script_exec_t "/home/site/cgi-bin(/.*)?"
restorecon -r -v /home/site
Отслеживаем возможные проблемы в /var/log/audit/audit.log и при необходимости
строим свои правила обхода. В качестве шаблона можно использовать результат
работы утилиты audit2allow:
audit2allow -M policy_name -i /var/log/audit/audit.log
semodule -i policy_name.pp
Не забываем открыть доступ к сетевым портам на межсетевом экране:
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp
https://nix-tips.ru/nginx-i-selinux-pri-obnovlenii-do-rhel-6-6-centos-6-6.html
По умолчанию для Apache, nginx и других http-серверов при использовании
SELinux в CentOS 7 и RHEL 7 область видимости ограничена директорией /var/www.
Для смены корня документов на /home/site следует включить новые директории в
правила httpd_sys_content_t и httpd_sys_script_exec_t.
Включаем временно:
chcon -R -t httpd_sys_content_t /home/site
chcon -R -t httpd_sys_script_exec_t /home/site/cgi-bin
Включаем постоянно:
semanage fcontext -a -t httpd_sys_content_t "/home/site(/.*)?"
semanage fcontext -a -t httpd_sys_script_exec_t "/home/site/cgi-bin(/.*)?"
restorecon -r -v /home/site
Отслеживаем возможные проблемы в /var/log/audit/audit.log и при необходимости
строим свои правила обхода. В качестве шаблона можно использовать результат
работы утилиты audit2allow:
audit2allow -M policy_name -i /var/log/audit/audit.log
semodule -i policy_name.pp
Не забываем открыть доступ к сетевым портам на межсетевом экране:
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp
https://nix-tips.ru/nginx-i-selinux-pri-obnovlenii-do-rhel-6-6-centos-6-6.html
Комментариев нет:
Отправить комментарий