SELinux의 아파치 모듈에는 두 개의 유사한 부울 매개 변수가 있습니다 : httpd_read_user_content및 httpd_enable_homedirs.
맨 페이지에 따르면 전자는 httpd가 사용자 컨텐츠 를 읽을 수 있고 후자는 httpd가 홈 디렉토리 를 읽을 수 있도록한다 .
그들 사이의 차이점은 무엇입니까?
httpd가 /home/foo디렉토리의 파일을 읽도록하려면 어떤 매개 변수를 true로 설정해야 합니까?
답변
httpd_read_user_content제한된 웹 서버가의 사용자 홈 디렉토리에있는 파일을 읽을 수 있도록합니다 /home.
httpd_enable_homedirsApache가 UserDir지시문 (예 : URL) 을 사용할 수 있습니다 http://www.example.com/~username/.
도메인 이름을 사용자 디렉토리에 매핑하는 경우 첫 번째 디렉토리를 활성화하는 것으로 충분 httpd_read_user_content하지만 Apache 사용자 디렉토리를 사용하려면 둘 다 활성화해야합니다.
답변
직접 조사한 후 sesearch명령을 사용하여 차이점을 조사했습니다 .
$ sesearch --allow -s httpd_t -b httpd_read_user_content
5 개의 시맨틱 av 규칙을 찾았습니다.
httpd_t user_home_dir_t 허용 : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t user_home_t 허용 : 파일 {ioctl 읽기 getattr 잠금 열기};
httpd_t user_home_t 허용 : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t 허용 home_root_t : dir {getattr search open};
httpd_t 허용 home_root_t : lnk_file {get getattr};
$ sesearch --allow -s httpd_t -b httpd_enable_homedirs
15 개의 시맨틱 av 규칙을 찾았습니다.
httpd_t user_home_dir_t 허용 : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t user_home_dir_t 허용 : lnk_file {get getattr};
httpd_t autofs_t 허용 : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t 허용 cifs_t : file {ioctl 읽기 getattr 잠금 열기};
httpd_t cifs_t 허용 : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t cifs_t 허용 : lnk_file {get getattr};
httpd_t 허용 nfs_t : file {ioctl 읽기 getattr 잠금 열기};
httpd_t 허용 nfs_t : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t 허용 nfs_t : lnk_file {get getattr};
httpd_t user_home_t 허용 : 파일 {ioctl 읽기 getattr 잠금 열기};
httpd_t user_home_t 허용 : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t user_home_type 허용 : dir {getattr search open};
httpd_t user_home_type 허용 : lnk_file {get getattr};
httpd_t 허용 home_root_t : dir {ioctl 읽기 getattr 잠금 검색 열기};
httpd_t 허용 home_root_t : lnk_file {get getattr};
의 모든 규칙 http_read_user_content은에 포함되어 있습니다 httpd_t -b httpd_enable_homedirs. 즉, 후자의 범위는 전자의 범위보다 넓습니다.
Michael이 올바르게 말했듯이 문서 루트를 사용자의 홈 디렉토리에 배치하려면 첫 번째 만 활성화해야합니다.