The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Как сменить корень документов в Apa..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Как сменить корень документов в Apa..."  +/
Сообщение от auto_tips on 04-Сен-15, 13:10 
По умолчанию для Apache, nginx  и других http-серверов при использовании SELinux в CentOS 7 и RHEL 7 область видимости ограничена директорией /var/www. Для смены корня документов на /home/site следует включить новые директории в правила httpd_sys_content_t и httpd_sys_script_exec_t.


Включаем временно:
   chcon -R -t httpd_sys_content_t /home/site
   chcon -R -t httpd_sys_script_exec_t /home/site/cgi-bin

Включаем постоянно:
   semanage fcontext -a -t httpd_sys_content_t "/home/site(/.*)?"
   semanage fcontext -a -t httpd_sys_script_exec_t "/home/site/cgi-bin(/.*)?"
   restorecon -r -v /home/site


Отслеживаем возможные проблемы в /var/log/audit/audit.log и при необходимости строим свои правила обхода. В качестве шаблона можно использовать результат работы утилиты audit2allow:

   audit2allow -M policy_name -i /var/log/audit/audit.log
   semodule -i policy_name.pp


Не забываем открыть доступ к сетевым портам на межсетевом экране:
   firewall-cmd --permanent --add-port=80/tcp
   firewall-cmd --permanent --add-port=443/tcp


URL:
Обсуждается: http://www.opennet.dev/tips/info/2915.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от Продавец_кирпичиков_из_говна on 04-Сен-15, 13:10 
audit2allow -M policy_name -i /var/log/audit/audit.log
Никогда так не делай, а если делаешь - не советуй такое нигде кроме лисяры и опеннета.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от Alexander (ok) on 04-Сен-15, 13:24 
А в чем проблема? Редхэт официально так советует:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterp...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от Stax (ok) on 04-Сен-15, 22:49 
В том, что не советуют они так просто делать - и по этой ссылке упомянуто несколько довольно важных нюансов. Не говоря уж о других решениях, типа setroubleshoot, который дает иногда осмысленные рекомендации об отсутствующих контекстах или boolean'ах.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от Алексей (??) on 05-Сен-15, 11:23 
Проблема в том, что этой командой вы разрешите ВСЁ без разбора.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от Alexander (ok) on 07-Сен-15, 12:29 
> Проблема в том, что этой командой вы разрешите ВСЁ без разбора.

Да, согласен, автору стоило это отметить

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от manofring email on 07-Сен-15, 13:36 
следовало бы еще добавить
firewall-cmd --reload
А то ведь люди (нубы) буду страдать :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от manofring email on 07-Сен-15, 13:39 
И вообще раз уж вы хотите что бы юзеры могли свой контент делать в хомяках через Apache, есть готовая фича в индейце user_dirs по моему. Включаешь в конфиге Апача эту фичу и вперед, у selinux там есть булева переменная для разрешения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от PnDx (ok) on 10-Сен-15, 17:14 
Я бы примерно так делал (на примере nsd):
# Пока отлаживаем
setenforce Permissive
grep nsd /var/log/audit/audit.log | audit2allow -m nsd_ns1
# Читаем, что вышло. Осмысливаем, там _иногда_ разумно про setsebool советуют.
# По итогам, втыкаем политику ("nsd" уже есть, так что меняем имя)
grep nsd /var/log/audit/audit.log | audit2allow -M nsd_ns1 ; semodule -i nsd_ns1.pp
#Всё, проверяем
setenforce Enforcing
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от pavlinux (ok) on 14-Сен-15, 02:46 
> ... при использовании SELinux

Ви таки считаете, что поделка от АНБ защитит вас лучше, чем sys_chdir() вызываемая из апача?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от гость on 23-Сен-15, 09:46 
простите, а для чего вообще изначально вся эта затея?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от manofring email on 29-Сен-15, 22:34 
3 последних комментатора - ни очем, спамеры.
Кстати никакой разницы для какого веб-сервера вы меняете root, хоть NginX хоть Apache, тип контекста selinux у них одинаковы.
Pavlinux - если начал договаривай, сказал как в тазик с водой пернул, слышно и пахнет но известно откуда оно?
последний ваще высер написал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от Аноним (??) on 02-Окт-15, 16:41 
Просто обычные грабли уже приелись, хотят новых, вот и пишут мануалы по операциям, которые обычно даже не упомянаются ввиду абсолютной очевидности и тривиальности.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от leap42 (ok) on 03-Окт-15, 19:38 
не надо так делать, это противоречит самой сути firewalld
firewall-cmd --add-port=80/tcp
firewall-cmd --add-port=80/tcp --permanent
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от Sw00p aka Jerom on 09-Окт-15, 17:56 
setenforce Disabled анбнегодует )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Как сменить корень документов в Apache/nginx в CentOS 7 и RH..."  +/
Сообщение от bagas email(ok) on 31-Окт-15, 20:26 
Жуть!, зачем так все усложнять!
Видать разроботчики хотят выпендрется, что типа они идут по другому пути развития, а в этоге просто палки в колеса сами себе вставляют.
rpm системы ужасны до неузноваемости! Не логичны!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру