CentOS5.3下架设LAMP时遇到SELinux权限问题

学习在CentOS 5.3下架设LAMP时,复制了一套PHP的源码到/var/www/html下,发现index.php无权限访问,而手工新增一个简单的php文件可以正常访问,百思不得其解,可以确定的是文件目录的linux权限设定没问题,httpd配置也无问题.

最后在google上搜索,发现原来是SELinux的设置问题,而SELinux还一直没引起我的注意.

问题的处理如下(截录网友文章片断):

一开始我想来想去想不出为什么，但是给我感觉是权限的问题，用传统的Linux的思维方式来看，权限绝对没有问题。但是仔细一想，SELinux是不是会有其他安全的设定？

检查 avc　message，查看 /var/log/messages文件，发现有类似以下内容的这样一段：

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:　/

denied　{ getattr } for　pid=19029 exe=/usr/sbin/httpd /

path=/var/www/html/about.html dev=dm-0 ino=373900 /

scOntext=root:system_r:httpd_t tcOntext=user_ubject_r:user_home_t /

tclass=file

嘿嘿，问题找到了，果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型，因此apache的进程没有权限，无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进程只能访问httpd_sys_content_t类型的目录或文件。

解决办法：

很简单，把目录或文件的策略类型改成 httpd_sys_content_t 就可以了

使用root用户

# chcon -t httpd_sys_content_t 目录名或文件名

然后可以用 ls -laZ 命令查看文件目录的策略类型