linux nginx selinux 的问题

helloiac

问题1：/usr/local/nginx/logs/nginx.pid
/dev/shm/php.socket 这两个文件在机器重启后，selinux type都自动变掉，需要restorecon还原后可以正常，为什么type在重启后会变掉
问题2：selinux 在enforcing 下，将网页根目录改到/home/www下某个文件，文件type为user_home_t,但是在浏览器页能正常访问
不是应该为httpd_sys_content_t才能正常访问吗

1. [root@localhost ~]# semanage fcontext -l|grep nginx
   
2. /dev/shm/php.socket                                all files          system_u:object_r:nginx_var_lib_t:s0
   
3. /usr/local/nginx/client_body_temp(/.*)?            all files          system_u:object_r:nginx_var_lib_t:s0
   
4. /usr/local/nginx/conf(/.*)?                        all files          system_u:object_r:etc_t:s0
   
5. /usr/local/nginx/fastcgi_temp(/.*)?                all files          system_u:object_r:nginx_var_lib_t:s0
   
6. /usr/local/nginx/html(/.*)?                        all files          user_u:object_r:httpd_sys_content_t:s0
   
7. /usr/local/nginx/htmlbak(/.*)?                     all files          system_u:object_r:httpd_sys_content_t:s0
   
8. /usr/local/nginx/htmlbak/                          all files          system_u:object_r:httpd_sys_content_t:s0
   
9. /usr/local/nginx/logs(/.*)?                        all files          system_u:object_r:nginx_var_log_t:s0
   
10. /usr/local/nginx/logs/nginx.pid                    all files          system_u:object_r:nginx_var_run_t:s0
    
11. /usr/local/nginx/proxy_temp(/.*)?                  all files          system_u:object_r:nginx_var_lib_t:s0
    
12. /usr/local/nginx/sbin/nginx                        regular file       system_u:object_r:nginx_exec_t:s0
    
13. /var/log/nginx(/.*)?                               all files          system_u:object_r:nginx_var_log_t:s0
    
14. dso_tool                                           all files          system_u:object_r:nginx_exec_t:s0
    
15. sbin                                               all files          system_u:object_r:nginx_exec_t:s0
    

复制代码

helloiac

1. 
   
2. [root@test-206 ~]# sealert -l 9c2e19aa-04e8-4828-b537-afd8c33ff94c
   
3. SELinux is preventing /usr/local/nginx/sbin/nginx from search access on the directory /dev/shm.
   
4. 
   
5. *****  Plugin catchall (100. confidence) suggests  ***************************
   
6. 
   
7. If you believe that nginx should be allowed search access on the shm directory by default.
   
8. Then you should report this as a bug.
   
9. You can generate a local policy module to allow this access.
   
10. Do
    
11. allow this access for now by executing:
    
12. # grep nginx /var/log/audit/audit.log | audit2allow -M mypol
    
13. # semodule -i mypol.pp
    
14. 
    
15. 
    
16. [root@test-206 ~]# ls -Z /usr/local/nginx/sbin/nginx
    
17. -rwxr-xr-x. www www system_u:object_r:nginx_exec_t:s0 /usr/local/nginx/sbin/nginx
    
18. [root@test-206 ~]# ls -Z /dev/shm/php-fpm.sock
    
19. srw-rw-rw-. root root unconfined_u:object_r:nginx_var_lib_t:s0 /dev/shm/php-fpm.sock
    
20. [root@test-206 ~]# semanage fcontext -l|grep nginx
    
21. /dev/shm                                           all files          system_u:object_r:nginx_var_lib_t:s0
    
22. /dev/shm/php-fpm.sock                              all files          system_u:object_r:nginx_var_lib_t:s0
    
23. /usr/loca/nginx/sbin/nginx                         all files          system_u:object_r:nginx_exec_t:s0
    
24. /usr/local/nginx/client_body_temp(/.*)?            all files          system_u:object_r:nginx_var_lib_t:s0
    
25. /usr/local/nginx/conf(/.*)?                        all files          system_u:object_r:etc_t:s0
    
26. /usr/local/nginx/fastcgi_temp(/.*)?                all files          system_u:object_r:nginx_var_lib_t:s0
    
27. /usr/local/nginx/html(/.*)?                        all files          user_u:object_r:httpd_sys_content_t:s0
    
28. /usr/local/nginx/logs(/.*)?                        all files          system_u:object_r:nginx_var_log_t:s0
    
29. /usr/local/nginx/logs/nginx.pid                    all files          system_u:object_r:nginx_var_run_t:s0
    
30. /usr/local/nginx/proxy_temp(/.*)?                  all files          system_u:object_r:nginx_var_lib_t:s0
    
31. /usr/local/nginx/sbin/nginx                        all files          system_u:object_r:nginx_exec_t:s0
    
32. /usr/local/nginx/sbin/nginx                        regular file       system_u:object_r:nginx_exec_t:s0
    
33. /var/log/nginx(/.*)?                               all files          system_u:object_r:nginx_var_log_t:s0
    
34. [root@test-206 ~]#
    

复制代码

SELinux is preventing /usr/local/nginx/sbin/nginx from search access on the directory /dev/shm.

求解，哪里配置错误了

Iinvincible

1) 你把文件的type写道selinux的配置文件里试试呢。
2）Selinux好像是可以根据MLS做访问控制而不是type。

helloiac

回复 3# Iinvincible
我想说是不是我的selinux bool值设置有问题

1. [root@localhost policy]# getsebool -a|grep httpd
   
2. allow_httpd_anon_write --> off
   
3. allow_httpd_mod_auth_ntlm_winbind --> off
   
4. allow_httpd_mod_auth_pam --> off
   
5. allow_httpd_sys_script_anon_write --> off
   
6. httpd_builtin_scripting --> on
   
7. httpd_can_check_spam --> off
   
8. httpd_can_network_connect --> off
   
9. httpd_can_network_connect_cobbler --> off
   
10. httpd_can_network_connect_db --> off
    
11. httpd_can_network_memcache --> off
    
12. httpd_can_network_relay --> off
    
13. httpd_can_sendmail --> off
    
14. httpd_dbus_avahi --> on
    
15. httpd_enable_cgi --> on
    
16. httpd_enable_ftp_server --> off
    
17. httpd_enable_homedirs --> on
    
18. httpd_execmem --> off
    
19. httpd_manage_ipa --> off
    
20. httpd_read_user_content --> on
    
21. httpd_run_stickshift --> off
    
22. httpd_setrlimit --> off
    
23. httpd_ssi_exec --> off
    
24. httpd_tmp_exec --> off
    
25. httpd_tty_comm --> on
    
26. httpd_unified --> off
    
27. httpd_use_cifs --> off
    
28. httpd_use_fusefs --> off
    
29. httpd_use_gpg --> off
    
30. httpd_use_nfs --> off
    
31. httpd_use_openstack --> off
    
32. httpd_verify_dns --> off
    

复制代码

里面没有看到 httpd_sys_content_rw_t 的设置，但是又不知道从哪里添加
我发现网上selinux的材料一般都比较浅显，是用selinux的不多吗