如果http://localhost/~myusername布尔值设置为 off Enforcing 的情况下访问Fedora20中的httpd_enable_homedirs >吗
以下是关于httpd_enable_homedirs布尔值的fedoraproject's wiki on SELinux的直接摘录:
默认情况下不允许httpd访问用户主目录。如果 您希望允许访问您需要设置的用户主目录 httpd_enable_homedirs布尔值并更改文件的上下文 你希望人们从家里出发。
我在先前版本(F19)中设置的/home/user/目录中有一个目录,用于在服务器(/home/user/public_html)上提供内容/文件,标记为{{1 }}。该目录归httpd_user_content_t所有; “普通用户”是reg_user:apache组的一部分。
但是,根据SELinux文档,我假设我无法访问apache,除非上述布尔值从关闭切换到 on ;但是,在http://localhost/~reg_user/模式下,我可以在没有任何提示/错误的情况下这样做。我的假设是否真的存在缺陷,或者我的本地SELinux政策可能存在安全风险?
BTW:服务器托管在Enforcing
将目录的组所有权更改回/var/www的组后,与reg_user布尔值的行为没有明显差异。但是,我有一个服务器配置文件确实指定要提供/映射到httpd_enable_homedirs的{{1}}目录:
public_html以及包含进一步限制/权限和访问控制的http://server/~username块。
可能服务器此时遵循这些指示,无论<IfModule mod_userdir.c>
UserDir public_html
</IfModule>
布尔值如何;是在搜索路径权限的初始设置期间主要需要的SELinux布尔值吗?由于<Directory>目录标有正确的 fcontext (即httpd_enable_homedirs),这是我能解释为什么SELinux没有阻止apache访问它的唯一解释。
为了缩小导致此不一致的可能原因,我发布了以下命令(由用户@FeRD建议),其中列出了/home/user/public_html未提供/拥有的自定义/不规则SELinux策略文件包:
httpd_user_content_t