使用CentOS 6
我运行了2个Apache httpd服务。第一个提供REST接口和UI来管理操作系统(启动/停止服务,使用suid执行系统命令,修改系统设置等)。此httpd服务(在端口5555上运行)只能从某个IP范围(防火墙)访问,因为它将用于管理目的。
第二个httpd服务(端口80和443)将在Internet上可见。它将为外部客户提供Web应用程序。
第一个httpd需要selinux策略,使其能够更多地访问操作系统文件/进程。第二个需要selinux策略,这些策略对于在其上下文中允许执行的操作是严格的。第二种方法需要采用这种方式来提高Web应用程序的安全性,并防止任何Web应用程序漏洞甚至无法触及操作系统。
两个httpd进程都以不同的用户身份运行。
我认为这归结为需要httpdpublic和httpdprivate selinux上下文。在此之前做过这样的事情的人可以提供一些指导或建议替代解决方案吗?感谢