php - SELinux 影响 "failed to open stream: Permission denied” PHP 错误

Question

昨天我花了 5 个小时连续发现一个看似不合理的错误“failed to open stream.permission denied”，这是在任何写入文件系统的操作之后发生的:fopen(带有“w”和“a”标志) , move_uploaded_file, file_put_contents.

我已经多次重新检查目录所有者(用户和组 - chown、chgrp)，将文件夹属性更改为不安全的 777(使用 chmod 的 rwx)，但它没有任何效果。我什至重新安装了 Apache 和 PHP，但仍然面临同样的错误。

由于在阅读各种文档数小时后出现错误的原因是 SELinux 限制自动应用于 Apache 服务 httpd。我只是通过更改行在我的 Fedora(第 20 版)上编辑 /etc/selinux/config 文件来关闭 SELinux:

SELINUX=enforcing

到

SELINUX=disabled

我重新启动了计算机，那个恼人的错误终于消失了。

我必须注意到 Stack Overflow 上关于 LAMP 环境“权限被拒绝”问题的所有问题都只涉及文件夹权限问题，而我的情况并非如此。

1. (实用)如何在不完全禁用 SELinux 的情况下授予 Apache httpd 服务对目录的写入-删除-更新权限？

2. (理论) 什么是 SELinux？它的用途是什么？为什么(出于什么原因)创建它？我为什么要使用它？是否有理由在本地开发机器上启用 SElinux？

仅供资源版主使用:我知道这个问题涉及的管理比实际编程更多，但我确信它对开发人员的影响比新手管理员要严重得多，因此我在 SuperUser 和 StackOverflow 之间做出选择拿了后者。但是，将问题移到 SuperUser 还是留在此处取决于您。

Answer 1

我不是专家，但我自己在使用 SELinux 时遇到过一些问题。我阅读了几篇文章，据我所知，SELinux 是您服务器的另一层安全性，确实应该保留，而不是由于无知而关闭(这是我读到的引述，不是我的话)。我发现这个网站很有帮助，也很有趣，它可能会为您提供比以往更多的信息。

http://stopdisablingselinux.com/

我将分享一些我遇到的事情:

您可以使用以下命令查看当前的 SELinux 权限:

ls -lZ

您可以使用以下命令设置 SELinux 权限:

chcon unconfined_u:object_r:httpd_user_content_t:s0

您可以使用通配符更改目录中的所有文件，如下所示:

chcon unconfined_u:object_r:httpd_user_content_t:s0 *

你可以使用这个递归地设置所有文件和目录的权限(这个命令可能会解决你的权限问题，你应该避免 777 之类的瘟疫):

chcon -R unconfined_u:object_r:httpd_user_content_t:s0 *

如果您希望使用主目录来为站点或应用程序提供服务，您需要发出此命令:

setsebool -P httpd_enable_homedirs=1

我在使用 Selinux 的 centos 上使用 fsockopen 时遇到问题，我不得不使用以下命令(-P 使此更改永久生效，您可能还需要此命令):

setsebool -P httpd_can_network_connect 1

您可以看到在 HTTPD 上设置了哪些标志:

sestatus

我认为最后一件事是我在服务器上遇到公钥/私钥身份验证问题，需要运行此命令来修复它(我认为这是一个已知错误):

restorecon -R -v /home

希望这些片段和信息中的一些会对您有所帮助，并且这些不仅仅是疯子的胡言乱语。