RedHat SELinux系统简介及案例分析

二、案例分析

Apache - "Document root must be a directory" 问题？

有可能和这个问题并发的问题还有 403 Forbidden　禁止访问的问题。

现象描述：

不使用系统默认的 /var/www/html作为系统的Document Root，自己新建一个目录后修改

/etc/httpd/conf/httpd.conf 中的配置，然后重起Apache的Daemon，发现Apache无法起动，系统报错：

　　Document root must be a directory

但是，我们设置的DocumentRoot 的确是一个目录，而且apache用户具有可读权限。

另一种情况：新建一个虚拟目录或文件后，无法访问，显示 Forbidden, 403 Error，但文件或目录有可读

权限。

问题产生的原因：

一开始想来想去想不出为什么，但是给我感觉是权限的问题，用传统的Linux的思维方式来看，权限绝对没

有问题。但是仔细一想，SELinux是不是会有其他安全的设定？

检查 avcmessage，查看 /var/log/messages文件，发现有类似以下内容的这样一段：

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

path=/var/www/html/about.html dev=dm-0 ino=373900

scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t

tclass=file

嘿嘿，问题找到了，果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型，因此

apache的进程没有权限，无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进

程只能访问httpd_sys_content_t类型的目录或文件。

解决办法：

很简单，把目录或文件的策略类型改成 httpd_sys_content_t 就可以了。

# chcon -t httpd_sys_content_t [file_name | dir_name]

然后可以用 ls -laZ 命令查看文件目录的策略类型。(T002)