What's Up? 簡單寫

 

前情提要:

 

Fedora 29 架站實務 之 Part 7 安全與權限問題

 

(本篇文長，請務必耐心閱讀)

 

這不是很簡單的事情嗎?:

 

直接放到/usr/share/nginx/html 下不就萬事OK了嗎 ? 但我想這個疑問也是一個剛切換到RedHat Based Linux 的疑問。我剛開始也不信邪，然而奇怪的問題接踵而至: 怎麼從其他地方移動到/html中的網頁都存取不了 ? 甚至最後搬出大絕招，資料夾擁有者改nginx，擁有者也改nginx，chmod 777 也無效。縱使突然好了，怎麼樣子都無法讓/html 中的php網頁執行寫入檔案動作。

 

It really grinds up my nerve.

 

難道Fedora 可以Bloody Cutting-Edge 到連Bug 都放這麼大嗎 ?

不，這是一個從其他Linux 發行版(尤其是Debian-based的)，切換到RedHat Based Linux 的鬼打牆，一個無形警察: SELinux。

 

 

開始前請注意:

 

請不要隨意執行setenforce 0 或 透過 /etc/sysconfig/selinux 把 SELINUX=disabled，除非您在進行測試，否則在可能的情形下，以透過更改SELinux 規則或繞道法(我們等一下會提及)來讓您的網頁或程式能在SELinux 執行的模式下提供服務。SELinux 提供了您系統良好的安全性，是做為公開伺服器十分需要的條件之一。

 

 

What is SELinux ?:

 

SELinux用來補足Linux 在權限上管理的不足，你可以對任何目標(例如應用程式、檔案、資料夾等) 規定十分嚴謹的規則，好比nginx / apache 這類的程式，都適用預先規定的httpd_xxx 的各種SELinux規則。

 

如果想要看SELinux 對於httpd 規定了哪些行為:

 

# getsebool -a | grep httpd

 

 

 

接著我們來觀看html 資料夾套用的SELinux限制:

 

# ls -lZ /usr/share/nginx | grep html

 

 

 

我們來看Nginx 的一些重要的預設SELinux 設定(會直接影響架站的):

 

httpd_can_network_connect --> off (是否允許httpd類程式主動連線其他主機 ?)

httpd_can_network_connect_db --> off (是否允許httpd類程式主動連線外部資料庫 ?)

httpd_can_sendmail --> off (httpd類程式是否可以主動進行寄送電子郵件 ?)

httpd_sys_rw_content_t --> httpd類程式能對目標項目(資料夾或檔案)做讀取、執行與寫入。

httpd_sys_content_t --> httpd 類程式只能對目標項目(資料夾或檔案)做讀取與執行，不能寫入(我們可以看到html資料夾就是這個設定)。

 

 

我們先來解釋這幾項為什麼會直接影響到架站:

 

httpd_can_network_connect 和 httpd_sys_content_t:

多數的網頁框架軟體(好比WordPress, Drupal, Joomla等) 上載檔案、變更設定、安裝外掛、安裝主題等等時，都會對網站資料夾內的內容作出變更。不開放寫入權限會讓這些行為失敗。而又如Wordpress中有線上更新與線上安裝外掛的功能，若系統不開放httpd類程式聯網，這類功能也無法使用。

當然您的網頁可能是靜態的，那這些行為都不需要做，不過仍請翻到更後面說明的: 資料夾SE權限重建。

 

httpd_can_network_connect_db:

如果您的資料庫是在其他台電腦時，這會讓您的網頁執行需要存取其他電腦，此時您必須將此項開啟。否則連線會失敗(包含存取lo(loopback)介面(127.0.0.1)，localhost不會)。

 

httpd_can_sendmail:

(尤其是論壇類) 如果您的電腦需要寄送信件(好比註冊確認信件等)，您必須要讓httpd能夠執行sendmail功能。

 

 

而怎麼變更這些SELinux設定值呢 ?:

 

setsebool [設定項目] [啟動或關閉]

例如: setsebool httpd_can_network_connect on/off

 

在大部分的情況之下，架設個人部落格或小型網站，我們考慮網頁伺服器與資料庫在同一台主機上，故我們只針對httpd_sys_content_t(也就是不能寫入的html資料夾)做處理。

 

 

安裝semanage，SELinux的項目權限管理工具: 

 

由於系統預設是沒有這項工具的，所以需要安裝:

 

# dnf install policycoreutils-python-utils

 

 

指令語法:

semanage [fcontext (對目標項目永久變更)] [增加(-a)/移除(-d)或修改(-m)] [-t (SE權限)] “[目標(一定要是完整目錄)][(/.*)? 包含目標中所有子項目]”

 

 

一旦對於一個目標或項目做了變更，都必須要求系統更新SELinux狀態:

 

restorecon [-R是否要連目標中所有子項目都要變更] [v要不要顯示每一個子項目做得更改在螢幕上] [目標]

 

範例:

# cd /usr/share/nginx/html/

# ls -lZ

1個項目

drwxr-xr-x. 2 root root unconfined_u:object_r:httpd_sys_content_t:s0 6 3月 26 16:57 testfolder

 

# semanage fcontext -a -t httpd_sys_rw_content_t “/usr/share/nginx/html/testfolder(/.*)?”

# restorecon -Rv /usr/share/nginx/html/testfolder

Relabeled….

# cd testfolder

# ls -lZ

2個項目

-rw-r--r--. 1 nginx nginx unconfined_u:object_r:httpd_sys_rw_content_t:s0 10 3月 26 17:04 testfile1

-rw-r--r--. 1 nginx nginx unconfined_u:object_r:httpd_sys_rw_content_t:s0 10 3月 26 17:04 testfile2

 

 

 

任何一個已經被賦予SELinux權限的項目若要更換其權限可以有兩種做法:

 

刪除原本的權限(semanage -d) 再新增

或是使用修改(semanage -m)

 

 

系統預設的SELinux檔案權限我可以從哪裡取得 ?:

 

# cat /etc/selinux/targeted/contexts/files/file_contexts

# cat /etc/selinux/targeted/contexts/files/file_contexts.homedir (跟家目錄管理相關的)

 

 

除了系統預設的SELinux檔案權限之外，我要怎麼知道哪些資料夾或檔案早就被我賦予SELinux 權限呢 ?:

 

# cat /etc/selinux/targeted/contexts/files/file_contexts.local

 

 

然而事與願違:

 

# ls -lZ /usr/share/nginx/

 

 

我們可以看到html 資料夾有被賦予SELinux 權限，故我們試圖將其從httpd_sys_content_t 改為httpd_sys_rw_content_t，然而當我們試圖移除權限時:

 

# semanage fcontext -d -t httpd_sys_content_t “/usr/share/nginx/html(/.*)?”

ValueError: /usr/share/nginx/html(/.*)? 的檔案情境已經定義在方針中，無法刪除

 

因為/usr/share/nginx/html 在系統規定的預設情境中。

 

 

備註: 情境是SELinux 對其中一個Profile 的稱呼，系統可以擁有多個情境，每個情境中都有不同的SELinux規則和設定，方便使用者管理與切換。

 

 

這時後要怎麼辦呢 ?

 

兩個解:

自行建立一個資料夾(例如/data/www/) 然後賦予 httpd_sys_rw_content_t。

在/usr/share/nginx/html/資料夾中，再建立一個資料夾並賦予httpd_sys_rw_content_t，然後把跟目錄改到那裏去。

 

 

我們以比較簡單，容易管理的方法，建立/data/www ，並賦予httpd_sys_rw_content_t來繼續:

 

# mkdir /data/

# mkdir /data/www/

同時寫一個php寫入小程式來測試: 如果正常則會出現空白頁面，失敗則會出現500 Internal Error

# nano /data/www/phpwrite.php

然後在寫一個Hello World 的html index

# nano /data/www/index.html

 

 

 

phpwrite.php:

<?php

$content = “some text”;

$fp = fopen($_SERVER[‘DOCUMENT_ROOT’], “/myText.txt”, “wb”);

fwrite($fp, $content);

fclose($fp);

?>

 

index.html

<html>

<title>Hello World!</title>

<body>

<p>

<h1> How are you ?</h1>

</p>

</body>

</html>

 

 

把整個目錄內的所有內容全部送給nginx(讓檔案與資料夾屬於nginx):

 

# chown -R nginx.nginx /data/www/

 

 

 

最後賦予這些檔案與目錄有httpd_sys_rw_content_t權限:

 

# semanage fcontext -a -t httpd_sys_rw_content_t “/data/www(/.*)?”

# restorecon -Rv /data/www/

 

 

 

所以了解完SELinux 現在我們得來了解Nginx 的Config File: /etc/nginx/nginx.conf:

 

 

Nginx Config的大架構:

 

 

備註:

 

好習慣要養成，變更任何config file 前，請先做好一份備份:

# cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup

發生問題時才能回到上一次沒問題的狀態。

 

 

講這麼多，基本上就是要把root 那行改成/data/www/ 就行了。

 

但請不要覺得囉嗦，這些也許在未來會成為幫助您完nginx 新把戲的必備:

 

# nano /etc/nginx/nginx.conf

找到 root /usr/share/nginx/html 改成 root /data/www/

儲存並結束

 

 

 

讓nginx 先檢查您的設定檔是否有語法錯誤:

 

# nginx -t

重新啟動 nginx

# systemctl restart nginx

 

 

 

測試時間! 開啟瀏覽器:

 

輸入: http://[你的IP]

 

 

如果看到這個，你已經完成了正確設定SELinux，nginx 也正常執行了

 

我們接著來測試php寫入功能是否正常:

 

輸入: http://[你的IP]/phpwrite.php

 

 

如果看到空白頁面才是正常的喔。

 

我們來看一下php產生的檔案:

 

 

如果能看到some text

 

那麼恭喜你: 你已經正式的讓Fedora 成為你的架站利器了!

(然後我要去睡覺了~)