论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2015-11-27 12:36 |只看该作者 |倒序浏览

CentOS7 自带的httpd.conf 里面的默认参数甚少啊……

【问题一】
想看看httpd是通过啥模式运行的（prefork or worker）
但是输入 httpd -l
却结果是：
Compiled in modules:
  core.c
  mod_so.c
  http_core.c

而在 CentOS6 里面的apache 2.2 应该是（我用的是 worker 模式）
Compiled in modules:
  core.c
  worker.c
  http_core.c
  mod_so.c

难道 apache 在非worker 和非prefork 模式下也能运行？

【问题二】
CentOS7 下，httpd 和 selinux 貌似默认的权限配置有点问题？

调取日志：

type=AVC msg=audit(1448597620.112:13819): avc:  denied  { execmem } for  pid=21315 comm="httpd" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=process

type=SYSCALL msg=audit(1448597620.112:13819): arch=x86_64 syscall=mmap success=no exit=EACCES a0=0 a1=10000 a2=7 a3=22 items=0 ppid=21314 pid=21315 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm=httpd exe=/usr/sbin/httpd subj=system_u:system_r:httpd_t:s0 key=(null)

调取日志后发现，httpd这个进程是以 selinux标签：httpd_t 的方式运行的。然后被selinux所拦截。

可是当我运行：ls -Z /usr/sbin/httpd
得到 -rwxr-xr-x. root root system_u

bject_r:httpd_exec_t:s0 /usr/sbin/httpd
发现 httpd 又是以 httpd_exec_t 的标签形式存在的……（真奇怪）

我运行 ps aux -Z | grep httpd
unconfined_u:system_r:httpd_t:s0 root    9528  0.0  5.1 460156 39080 ?       Ss 11:32 0:00 /usr/sbin/httpd
unconfined_u:system_r:httpd_t:s0 apache 9531  0.2 12.9 1285624 98344 ?    Sl 11:32 0:07 /usr/sbin/httpd
unconfined_u:system_r:httpd_t:s0 apache 9532  0.3 24.6 1369412 187232 ?    Sl 11:32 0:13 /usr/sbin/httpd
发现进程内，是以 httpd_t 的标签形式存在的。

是什么原因导致了此问题呢？