2.7. Apache HTTP 服务器的 SELinux 策略
您可以使用 Security-Enhanced Linux (SELinux)策略来定义 Apache HTTP 服务器的访问控制。这些策略是一组决定对产品的访问权限的规则。
2.7.1. SELinux 策略信息
SELinux 安全模型由内核强制执行,并确保应用程序对文件系统位置和端口等资源的有限访问权限。SELinux 策略可确保任何被入侵或配置不当的进程都受到限制或阻止了运行。
Apache HTTP 服务器安装中的 jbcs-httpd24-httpd-selinux
软件包提供了一个 mod_proxy_cluster
策略。下表包含有关提供的 SELinux 策略的信息。
Name | 端口信息 | 策略信息 |
---|---|---|
|
为 |
安装后脚本配置 |
其他资源
- RHEL 7: SELinux 用户和管理员指南
- RHEL 8: 使用 SELinux
- RHEL 9: 使用 SELinux
2.7.2. 为 Apache HTTP 服务器归档安装安装 SELinux 策略
在这个发行版本中,归档软件包提供 SELinux 策略。根 Apache HTTP 服务器文件夹包含一个 .postinstall.selinux
文件。如果需要,您可以运行 .postinstall.selinux
脚本。
默认情况下,Apache HTTP 服务器提供的 SELinux 策略不处于活动状态,而 Apache HTTP 服务器进程在 unconfined_t
域中运行。这个域不会限制进程。如果您选择不要启用 SELinux 策略,请限制 apache
用户的文件访问,以便 apache
用户只能访问 Apache HTTP 服务器运行时所需的文件和目录。
流程
安装
selinux-policy-devel
软件包:yum install -y selinux-policy-devel
运行
.postinstall.selinux
脚本:cd <httpd_home> sh .postinstall.selinux
创建并安装 SELinux 模块:
cd <httpd_home>/selinux/ make -f /usr/share/selinux/devel/Makefile semodule -i jbcs-httpd24-httpd.pp
为 Apache HTTP 服务器应用 SELinux 上下文:
restorecon -r <httpd_home>
为 Apache HTTP 服务器所需端口添加访问权限:
semanage port -a -t http_port_t -p tcp 6666 semanage port -a -t http_port_t -p udp 23364
启动 Apache HTTP 服务器服务:
<httpd_home>/sbin/apachectl start
检查预期
httpd_t
的正在运行的进程的上下文:$ ps -eZ | grep httpd | head -n1 unconfined_u:unconfined_r:httpd_t:s0-s0:c0.c1023 2864 ? 00:00:00 httpd
验证 httpd 目录的上下文。例如:
ls -lZ <httpd_home>/logs/