Cách đặt SELinux để cho phép tập lệnh CGI tạo tệp

kamae

00:11, 24/01/2023

Tôi đang viết CGI cho httpd trên CentOS 7, tạo và ghi tệp trên một thư mục trong nhà. Khi tôi kích hoạt SELinux, nó gây ra Lỗi Máy chủ Nội bộ. Làm cách nào tôi có thể thiết lập SELinux?

Lệnh sudo ausearch -m AVC,USER_AVC -ts gần đây hiển thị một lỗi dưới đây.

thời gian->Thứ sáu 24 tháng 9 09:03:23 2021
type=PROCTITLE msg=audit(1632441803.684:10739412): proctitle=2F7573722F62696E2F707974686F6E330075706C6F61642E636769
type=SYSCALL msg=audit(1632441803.684:10739412): arch=c000003e syscall=2 success=no exit=-13 a0=7f69aa9978c0 a1=a00c2 a2=180 a3=3 items=0 ppid=12020 pid=5135 auid=4294967295 uid =1018 gid=1018 euid=1018 suid=1018 fsuid=1018 egid=1018 sgid=1018 fsgid=1018 tty=(none) ses=4294967295 comm="upload.cgi" exe="/usr/bin/python3.6" subj=system_u:system_r:httpd_user_script_t:s0 key=(null)
type=AVC msg=audit(1632441803.684:10739412): avc: bị từ chối { add_name } cho pid=5135 comm="upload.cgi" name="16r3sq_k" scontext=system_u:system_r:httpd_user_script_t:s0 tcontext=unconfined_u:object_r:httpd_user_script_exec_t :s0 tclass=dir cho phép=0

Bối cảnh của thư mục được đặt như dưới đây.

$ ls -ldZ đã tải lên
drwxrwxr-x. người dùng người dùng unconfined_u:object_r:httpd_user_rw_content_t:s0 đã tải lên

140

0 + 0

httpd

Michael Hampton

00:51, 24/01/2023

Chương trình `upload.cgi` của bạn đang cố gắng tạo một tệp có tên `16r3sq_k` trong một số thư mục. Nhật ký không cho biết thư mục nào. Đây là thư mục gì?

Hồi đáp

kamae

09:04, 24/01/2023

@MichaelHampton Thư mục là `~/public_html/uploaded/`. Tôi đặt `httpd_user_rw_content_t` cho thư mục nhưng tôi không chắc đây là cài đặt ngữ cảnh phù hợp.

Hồi đáp

Michael Hampton

14:26, 24/01/2023

SELinux rất kiên quyết rằng máy chủ web hoặc quy trình mà nó sinh ra không thể ghi vào thư mục chính của người dùng (chỉ được phép đọc). Đặt trang web của bạn ở một vị trí thích hợp trong hệ thống tệp mà SELinux nhận ra, ví dụ:. `/srv/www/myappname`.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to set SELinux to allow CGI script to create a file

TH: วิธีตั้งค่า SELinux ให้สคริปต์ CGI สร้างไฟล์

RO: Cum să setați SELinux pentru a permite script-ului CGI să creeze un fișier

RU: Как настроить SELinux, чтобы сценарий CGI мог создавать файл

VI: Cách đặt SELinux để cho phép tập lệnh CGI tạo tệp

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.