https://www.opennet.me/openforum/vsluhforumID3/104582.html По умолчанию для Apache, nginx и других http-серверов при использовании SELinux в CentOS 7 и RHEL 7 область видимости ограничена директорией /var/www. Для смены корня документов на /home/site следует включить новые директории в правила httpd_sys_content_t и httpd_sys_script_exec_t.<br><br><br>Включаем временно:<br> chcon -R -t httpd_sys_content_t /home/site<br> chcon -R -t httpd_sys_script_exec_t /home/site/cgi-bin<br><br>Включаем постоянно:<br> semanage fcontext -a -t httpd_sys_content_t "/home/site(/.*)?"<br> semanage fcontext -a -t httpd_sys_script_exec_t "/home/site/cgi-bin(/.*)?"<br> restorecon -r -v /home/site<br><br><br>Отслеживаем возможные проблемы в /var/log/audit/audit.log и при необходимости строим свои правила обхода. В качестве шаблона можно использовать результат работы утилиты audit2allow:<br><br> audit2allow -M policy_name -i /var/log/audit/audit.log <br> semodule -i policy_name.pp<br><br><br>Не забываем открыть доступ к сетевым портам на межсетевом экране:<br> firewall-cmd --permanent --add-port=80/tcp<br> firewal https://www.opennet.me/openforum/vsluhforumID3/104582.html#17 Sat, 31 Oct 2015 17:26:17 GMT Жуть!, зачем так все усложнять!<br>Видать разроботчики хотят выпендрется, что типа они идут по другому пути развития, а в этоге просто палки в колеса сами себе вставляют.<br>rpm системы ужасны до неузноваемости! Не логичны!<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#16 Fri, 09 Oct 2015 14:56:54 GMT setenforce Disabled анбнегодует )<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#15 Sat, 03 Oct 2015 16:38:00 GMT не надо так делать, это противоречит самой сути firewalld<br>firewall-cmd --add-port=80/tcp<br>firewall-cmd --add-port=80/tcp --permanent<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#14 Fri, 02 Oct 2015 13:41:12 GMT Просто обычные грабли уже приелись, хотят новых, вот и пишут мануалы по операциям, которые обычно даже не упомянаются ввиду абсолютной очевидности и тривиальности.<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#13 Tue, 29 Sep 2015 19:34:12 GMT 3 последних комментатора - ни очем, спамеры.<br>Кстати никакой разницы для какого веб-сервера вы меняете root, хоть NginX хоть Apache, тип контекста selinux у них одинаковы.<br>Pavlinux - если начал договаривай, сказал как в тазик с водой пернул, слышно и пахнет но известно откуда оно?<br>последний ваще высер написал.<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#12 Wed, 23 Sep 2015 06:46:59 GMT простите, а для чего вообще изначально вся эта затея?<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#10 Sun, 13 Sep 2015 23:46:06 GMT &gt; ... при использовании SELinux <br><br>Ви таки считаете, что поделка от АНБ защитит вас лучше, чем sys_chdir() вызываемая из апача?<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#9 Thu, 10 Sep 2015 14:14:44 GMT Я бы примерно так делал (на примере nsd):<br># Пока отлаживаем<br>setenforce Permissive<br>grep nsd /var/log/audit/audit.log &#124; audit2allow -m nsd_ns1<br># Читаем, что вышло. Осмысливаем, там _иногда_ разумно про setsebool советуют.<br># По итогам, втыкаем политику ("nsd" уже есть, так что меняем имя)<br>grep nsd /var/log/audit/audit.log &#124; audit2allow -M nsd_ns1 ; semodule -i nsd_ns1.pp<br>#Всё, проверяем<br>setenforce Enforcing<br> https://www.opennet.me/openforum/vsluhforumID3/104582.html#8 Mon, 07 Sep 2015 10:39:18 GMT И вообще раз уж вы хотите что бы юзеры могли свой контент делать в хомяках через Apache, есть готовая фича в индейце user_dirs по моему. Включаешь в конфиге Апача эту фичу и вперед, у selinux там есть булева переменная для разрешения. <br>