- Установите на файлы контекст httpd_sys_script_ro_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать данные, и при этом нужно запретить доступ другим не-sys скриптам.
- Установите на файлы контекст httpd_sys_script_rw_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и писать данные, и при этом нужно запретить доступ другим не-sys скриптам.
- Установите на файлы контекст httpd_sys_script_ra_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и добавлять данные, и при этом нужно запретить доступ другим не-sys скриптам.
- Установите на cgi-скрипты контекст httpd_unconfined_script_exec_t если вы хотите разрешить
им исполняться без какой-либо защиты SELinux. Такой способ должен использоваться только для
скриптов с очень комплексными требованиями, и только в случае, если все остальные варианты настройки не дали результата. Лучше использовать скрипты с контекстом httpd_unconfined_script_exec_t, чем выключать защиту SELinux для httpd.
.SHЗАМЕЧАНИЕ
Вместе с некоторыми политиками, вы можете определить дополнительные контексты файлов, основанные
на ролях, таких как user или staff. Может быть определен контекст httpd_user_script_exec_t, который будет иметь доступ только к "пользовательским" контекстам.
.SHСОВМЕСТНОЕВЛАДЕНИЕФАЙЛАМИ
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для httpd вы должны выполнить команду:
Политика SELinux настроена исходя из принципа наименьших привилегий. Таким образом,
по умолчанию SELinux препятствует работе некоторых http-скриптов. Политика httpd весьма
гибка, и существующие переключатели управляют политикой, позволяя httpd выполняться
с наименее возможными правами доступа.
.PP
Если вы хотите, чтобы httpd мог исполнять cgi-скрипты, установите переключатель httpd_enable_cgi
.EX
setsebool -P httpd_enable_cgi 1
.EE
.PP
По умолчанию демону httpd не разрешен доступ в домашние дерикториии пользователей. Если вы хотите разрешить доступ, вам необходимо установить переключатель httpd_enable_homedirs и изменить контекст
тех файлов в домашних директориях пользователей, к которым должен быть разрешен доступ.
.EX
setsebool -P httpd_enable_homedirs 1
chcon -R -t httpd_sys_content_t ~user/public_html
.EE
.PP
По умолчанию демон httpd не имеет доступ к управляющему терминалу. В большинстве случаев такое
поведение является предпочтительным. Это связанно с тем, что злоумышленник может попытаться
использовать доступ к терминалу для получения привилегий. Однако, в некоторых ситуациях демон
httpd должен выводить запрос пароля для открытия файла сертификата и в таких случаях нужен доступ
к терминалу. Для того, чтобы разрешить доступ к терминалу, установите переключатель httpd_tty_comm.
.EX
setsebool -P httpd_tty_comm 1
.EE
.PP
httpd может быть настроен так, чтобы не разграничивать тип доступа к файлу на основании контекста.
