Java自学者论坛

 找回密码
 立即注册

手机号码,快捷登录

恭喜Java自学者论坛(https://www.javazxz.com)已经为数万Java学习者服务超过8年了!积累会员资料超过10000G+
成为本站VIP会员,下载本站10000G+会员资源,会员资料板块,购买链接:点击进入购买VIP会员

JAVA高级面试进阶训练营视频教程

Java架构师系统进阶VIP课程

分布式高可用全栈开发微服务教程Go语言视频零基础入门到精通Java架构师3期(课件+源码)
Java开发全终端实战租房项目视频教程SpringBoot2.X入门到高级使用教程大数据培训第六期全套视频教程深度学习(CNN RNN GAN)算法原理Java亿级流量电商系统视频教程
互联网架构师视频教程年薪50万Spark2.0从入门到精通年薪50万!人工智能学习路线教程年薪50万大数据入门到精通学习路线年薪50万机器学习入门到精通教程
仿小米商城类app和小程序视频教程深度学习数据分析基础到实战最新黑马javaEE2.1就业课程从 0到JVM实战高手教程MySQL入门到精通教程
查看: 590|回复: 0

linux CentOs 权限导致的Apache - "DocumentRoot must be a directory"的解决方案

[复制链接]
  • TA的每日心情
    奋斗
    2024-11-24 15:47
  • 签到天数: 804 天

    [LV.10]以坛为家III

    2053

    主题

    2111

    帖子

    72万

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    726782
    发表于 2021-9-5 09:35:53 | 显示全部楼层 |阅读模式

    在配置apache服务时经常遇到DocumentRoot must be a directory的错误提示,刚接触到apache时折腾了几个小时才找到错误的原因,出现这样的错误一般都是由于selinux的原因。

    SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux® 上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文 件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。
          Apache - "Document root must be a directory" 问题?

    有可能和这个问题并发的问题还有 403 Forbidden 禁止访问的问题。

    现象描述:

    不使用系统默认的 /var/www/html作为系统的Document Root,自己新建一个目录后修改

    /etc/httpd/conf/httpd.conf 中的配置,然后重起Apache的Daemon,发现Apache无法起动,系统报错:

     检查 avcmessage,查看 /var/log/messages文件,发现有类似以下内容的这样一段:

    Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

    denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

    path=/var/www/html/about.html dev=dm-0 ino=373900

    scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t

    tclass=file

         #semanage fcontext -l | grep '/var/www'

    获知默认/var/www目录的 SELinux 上下文:/var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0从中可以看到 Apache 只能访问包含httpd_sys_content_t标签的文件。

          假设要Apache 使用/www作为网站文件目录,那么就需要给这个目录下的文件增加httpd_sys_content_t标签,分两步实现。

           首先为 /www 这个目录下的文件添加默认标签类型:

          #semanage fcontext -a -t httpd_sys_content_t'/srv/www(/.*)?'

           然后用新的标签类型标注已有文件:

           #restorecon -Rv /srv/www

           之后 Apache 就可以使用该目录下的文件构建网站了。

    解决办法2:

    很简单,把目录或文件的策略类型改成 httpd_sys_content_t 就可以了。

    # chcon -t httpd_sys_content_t [file_name | dir_name]
    # chcon -R -h -t httpd_sys_content_t /www
    然后可以用 ls -laZ 命令查看文件目录的策略类型。(T002)

    解决方法3:

    关掉selinux  
    #setenforce 0

    解决方法4:
    或者更改/root/website这个文件的selinux属性,让它匹配httpd这个服务器的要求
    怎么改?我们可以复制/var/www/html这个目录的selinux属性
    #chcon -R --reference /var/www/html /root/website
    然后在重启服务,之后你就看到它没有报错了
    不过你去访问localhost的时候,会发现访问拒绝 这是为什么呢?主要是因为你的/root的权限是750,ahache这个用户没有权限访问,你需要更改掉权限,可以这样改
    #chmod -R 755 /root
    然后去访问 发现正常了

    延伸阅读:SELinux简介

    RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。

    SELinux的全称是Security-Enhanced Linux,是由美国国家安全局NSA开发的访问控制体制。

    SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大,举一个简单的例子可以证明:

    没有SELinux保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别

    则可以达到B1级。如:我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情

    况下,任何人都可以访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,

    但SELinux的安全策略会继续检查你是否可以访问。

    NSA推出的SELinux安全体系结构称为 Flask,在这一结构中,安全性策略的逻辑和通用接口一起封装在与

    操作系统独立的组件中,这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性

    策略,由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器,可

    以支持不同的安全策略。SELinux使用策略配置语言定义安全策略,然后通过checkpolicy 编译成二进制形

    式,存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中,在内核引导时读到内核空间

    。这意味着安全性策略在每次系统引导时都会有所不同。

    SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。有限策略仅针对部分

    系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。有限策略模式下,9个(可

    能更多)系统服务受SELinux监控,几乎所有的网络服务都受控。

    配置文件是/etc/selinux/config,一般测试过程中使用“permissive”模式,这样仅会在违反SELinux规

    则时发出警告,然后修改规则,最后由用户觉得是否执行严格“enforcing”的策略,禁止违反规则策略的

    行为。

    规则决定SELinux的工作行为和方式,策略决定具体的安全细节如文件系统,文件一致性。



    在安装过程中,可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。

    安装之后,可以在“应用程序”-->“系统设置”-->“安全级别”,或者直接在控制台窗口输入“system

    -config- securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中,我们不但可以设置“

    启用”或者“禁用”SELinux,而且还可以对已经内置的SELinux策略进行修改。

    SELinux相关命令:

    ls -Z

    ps -Z

    id -Z

    分别可以看到文件,进程和用户的SELinux属性。

    chcon 改变文件的SELinux属性。

    getenforce/setenforce查看和设置SELinux的当前工作模式。

    修改配置文件/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。

    http://dadait.blog.163.com/blog/static/3207916201361122548407/

    哎...今天够累的,签到来了1...
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|手机版|小黑屋|Java自学者论坛 ( 声明:本站文章及资料整理自互联网,用于Java自学者交流学习使用,对资料版权不负任何法律责任,若有侵权请及时联系客服屏蔽删除 )

    GMT+8, 2024-12-22 13:01 , Processed in 0.059502 second(s), 30 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2021, Tencent Cloud.

    快速回复 返回顶部 返回列表