3
我有一個共享PHP腳本保存的目錄(名稱是任意的,但它不是/ var /,/ usr /或任何SELinux會對特定設置):
/不管/腳本/告訴SELinux讓Apache執行文件根目錄之外的PHP文件
這些腳本可以通過cronjobs得到執行,或使輸出可以被包含在一個網頁可能會被Apache或Tomcat執行。
SELinux的否認權限:
類型= AVC味精=審計(1363205612.276:476923):AVC:拒絕{執行}對於PID = 6855 COMM = 「sh」 的名稱= 「script.php的」 dev的= sda3 ino = 4325828 scontext = system_u:system_r:httpd_t:s0 tcontext = unconfined_u:object_r:etc_runtime_t:s0 tclass =文件
type = SYSCALL msg = audit(1363205612.276:476923):arch = c000003e syscall = 59 success = no exit = -13 a0 = 2431d10 a1 = 2431d70 a2 = 24301e0 a3 = 50項= 0 ppid = 23100 pid = 6855 auid = 4294967295 uid = 48 gid = 48 euid = 48 suid = 48 fsuid = 48 egid = 48 sgid = 48 fsgid = 48 tty =(none)ses = 4294967295 comm =「sh」exe =「/ bin/bash」subj = system_u:system_r:httpd_t:s0 key =(null)
type = AVC msg = audit(1363205612.277:476924):avc:denied {execute} for pid = 6855 comm =「sh」name =「script.php」dev = sda3 ino = 4325828 scontext = system_u:system_r:httpd_t: S0 = tcontext unconfined_u:object_r:etc_runtime_t:S0 = tclass文件
類型= SYSCALL味精=審計(1363205612.277:476924):拱= c000003e系統調用= 21次成功=沒有出口= -13 A0 = 2431d10 A1 = 1 A2 = 0 a3 = 50項目= 0 ppid = 23100 pid = 6855 auid = 4294967295 uid = 48 gid = 48 euid = 48 suid = 48 fsuid = 48 egid = 48 sgid = 48 fsgid = 48 tty =(none)ses = 4294967295 comm =「 sh「exe =」/ bin/bash「subj = system_u:system_r:httpd_t:s0 key =(null)
我知道有一個命令可以用來告訴SELinux允許這樣做,但它無法讓我知道。
即使製作目錄和腳本所有者和組apache也不起作用,所以它不是典型的權限問題,但SELinux具體。
系統是CentOS 6.3。
這可以爲單個腳本而不是整個目錄完成嗎? – 2016-02-27 19:27:26