Linux By Ivan

SELinux 不再是惡夢:理解 Context 與 Audit2allow

別急著 setenforce 0

很多工程師安裝完 Rocky Linux 第一件事就是關閉 SELinux,這其實放棄了強大的安全防護。SELinux 透過 Label (Context) 強制存取控制。

常見問題:Apache/Nginx 讀不到 /var/www/html 以外的目錄。
正確解法

  1. 檢查 Context:ls -Z 查看檔案標籤。
  2. 修正標籤:chcon -R -t httpd_sys_content_t /my/web/root
  3. 自動生成規則:若遇到複雜錯誤,安裝 setroubleshoot-server,使用 audit2allow -a -M my_rule 分析 audit log 並自動產生允許規則模組。
← Back to All Posts