linux CentOs 权限导致的Apache - "DocumentRoot must be a directory"的解决方案

在配置apache服务时经常遇到DocumentRoot must be a
directory的错误提示,刚接触到apache时折腾了几个小时才找到错误的原因,出现这样的错误一般都是由于selinux的原因。

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux®
上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文
件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux
上,也可以作为其他发行版上容易安装的包得到。
      Apache - "Document root
must be a directory" 问题?

有可能和这个问题并发的问题还有 403 Forbidden 禁止访问的问题。

现象描述:

不使用系统默认的 /var/www/html作为系统的Document Root,自己新建一个目录后修改

/etc/httpd/conf/httpd.conf 中的配置,然后重起Apache的Daemon,发现Apache无法起动,系统报错:

 检查 avcmessage,查看 /var/log/messages文件,发现有类似以下内容的这样一段:

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

path=/var/www/html/about.html dev=dm-0 ino=373900

scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t

tclass=file

#semanage fcontext -l | grep ‘/var/www‘

获知默认/var/www目录的 SELinux 上下文:/var/www(/.*)? all files
system_u:object_r:httpd_sys_content_t:s0从中可以看到 Apache
只能访问包含httpd_sys_content_t标签的文件。

假设要Apache
使用/www作为网站文件目录,那么就需要给这个目录下的文件增加httpd_sys_content_t标签,分两步实现。

首先为 /www 这个目录下的文件添加默认标签类型:

#semanage fcontext -a -t
httpd_sys_content_t‘/srv/www(/.*)?‘

然后用新的标签类型标注已有文件:

#restorecon -Rv /srv/www

之后 Apache 就可以使用该目录下的文件构建网站了。

解决办法2:

很简单,把目录或文件的策略类型改成
httpd_sys_content_t 就可以了。

# chcon -t httpd_sys_content_t [file_name |
dir_name]
# chcon -R -h -t httpd_sys_content_t /www
然后可以用 ls -laZ
命令查看文件目录的策略类型。(T002)

解决方法3:

关掉selinux  
#setenforce 0

解决方法4:
或者更改/root/website这个文件的selinux属性,让它匹配httpd这个服务器的要求
怎么改?我们可以复制/var/www/html这个目录的selinux属性
#chcon
-R --reference /var/www/html
/root/website
然后在重启服务,之后你就看到它没有报错了
不过你去访问localhost的时候,会发现访问拒绝
这是为什么呢?主要是因为你的/root的权限是750,ahache这个用户没有权限访问,你需要更改掉权限,可以这样改
#chmod -R 755
/root
然后去访问 发现正常了

延伸阅读:SELinux简介

RedHat Enterprise Linux AS
3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。

SELinux的全称是Security-Enhanced
Linux,是由美国国家安全局NSA开发的访问控制体制。

SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大,举一个简单的例子可以证明:

没有SELinux保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别

则可以达到B1级。如:我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情

况下,任何人都可以访问/tmp
下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,

但SELinux的安全策略会继续检查你是否可以访问。

NSA推出的SELinux安全体系结构称为
Flask,在这一结构中,安全性策略的逻辑和通用接口一起封装在与

操作系统独立的组件中,这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性

策略,由类型实施
(TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS)
组成。通过替换安全服务器,可

以支持不同的安全策略。SELinux使用策略配置语言定义安全策略,然后通过checkpolicy
编译成二进制形

式,存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中,在内核引导时读到内核空间

。这意味着安全性策略在每次系统引导时都会有所不同。

SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。有限策略仅针对部分

系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。有限策略模式下,9个(可

能更多)系统服务受SELinux监控,几乎所有的网络服务都受控。

配置文件是/etc/selinux/config,一般测试过程中使用“permissive”模式,这样仅会在违反SELinux规

则时发出警告,然后修改规则,最后由用户觉得是否执行严格“enforcing”的策略,禁止违反规则策略的

行为。

规则决定SELinux的工作行为和方式,策略决定具体的安全细节如文件系统,文件一致性。

在安装过程中,可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。

安装之后,可以在“应用程序”-->“系统设置”-->“安全级别”,或者直接在控制台窗口输入“system

-config-
securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中,我们不但可以设置“

启用”或者“禁用”SELinux,而且还可以对已经内置的SELinux策略进行修改。

SELinux相关命令:

ls
-Z

ps -Z

id -Z

分别可以看到文件,进程和用户的SELinux属性。

chcon
改变文件的SELinux属性。

getenforce/setenforce查看和设置SELinux的当前工作模式。

修改配置文件/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。

http://dadait.blog.163.com/blog/static/3207916201361122548407/

linux CentOs 权限导致的Apache - "DocumentRoot must be a
directory"的解决方案

时间: 2024-10-08 11:13:48

linux CentOs 权限导致的Apache - "DocumentRoot must be a directory"的解决方案的相关文章

linux centos 权限查看,修改

1.权限查看 ls -l2.字母r(可读):w(可写):x(可执行)显示 -rw-r--r--解读:第一列"-"普通文件:"d"目录文件"b"设备文件"c"字符文件:如键盘"s"套接字文件"p"管道文件第二列至第十列(1)属主权限 rw- 可读.可写(2)属组权限 r-- 可读(3)属其他人权限r-- 可读3.设定文件权限chmod 没权限(0)规则 r(可读)4 .w(可写)2 .x(

【CentOS】Linux sudo权限集中管理案例

目的 使得公司的Linux系统权限管理更规范,让每个用户拥有自己所该有的权限,防止因为某些用户的权限过大后的一些误操作,导致服务器的不正常运行. 操作 1.编辑Linux系统中的sudoers文件 [[email protected] ~]# vim /etc/sudoers #Edit by root User_Alias NETMAN = net01, net02 #用户别名 User_Alias ADMIN = admin01, admin02 User_Alias SA = %sa #定

Linux(CentOS)系统下安装好apache(httpd)服务后,其他电脑无法访问的原因

原文:Linux(CentOS)系统下安装好apache(httpd)服务后,其他电脑无法访问的原因 今天试了下在虚拟机上利用CentOS系统的yum命令安装好了httpd(apache2.4.6),然后在windows系统下访问此虚拟机的ip地址,却访问不了. 因为前段时间有知道过iptable的限制,所以在想是不是因为iptable限制了80端口呢! 所以在网上找了下iptable的命令,并且把tcp的80端口设置成允许任何IP都可以访问: iptables -I INPUT -p TCP

【下载:CentOS】OS + Linux CentOS 7 / CentOS-7.0-1406-x86_64-Everything.iso

s CentOSdownload http://mirrors.163.com/centos/7.0.1406/isos/x86_64/CentOS-7.0-1406-x86_64-Everything.iso http://mirrors.163.com/centos/7/isos/x86_64/ http://isoredirect.centos.org/centos/7/isos/x86_64/ http://isoredirect.centos.org/centos/6/isos/x86

《Linux菜鸟入门2》Apache

●apache服务 1.什么是apache Apache是世界使用排名第一的Web服务器软件.它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一.它快速.可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中.同时Apache音译为阿帕奇,是北美印第安人的一个部落,叫阿帕奇族,在美国的西南部.httpd是Apache超文本传输协议(HTTP)服务器的主程序 lamp=linux apache mysql php l

centos7安装Lnmp(Linux+Nginx+MySql+Php+phpMyAdmin+Apache)

centos7安装Lnmp(Linux+Nginx+MySql+Php)及Apache Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx是一个高性能的HTTP和反向代理服务器,Nginx 超越 Apache 的高性能和稳定性,使得国内使用 Nginx 作为 Web 服务器的网站也越来越多, 我们学习PHP,以及搭建我们自己的LNMP环境,不妨先在本机上尝试学习,下面我们一步一步来完成在CentOS7 下安装LNMP(Linux+Nginx+MySQL+PHP)及Apache. 查

Linux运维实战之Apache的基本配置(全局配置、主服务器配置):

上次博文我们具体讨论了http协议(参见:http://sweetpotato.blog.51cto.com/533893/1656137),本次博文我们来具体配置一台Apache(httpd)服务器. 本次博文的主要内容: httpd相关包信息 httpd的安装及主页面 httpd的配置文件 httpd的全局配置 httpd的主服务器配置 一.httpd的RPM包介绍及其相关信息: RHEL5和RHEL6略有不同: 下图是RHEL5上httpd相关包的信息: 下图是RHEL6上httpd相关包

linux(CentOS)下Mrtg的安装詳解

linux(CentOS)下Mrtg的安装詳解 MRTG非常強大,他可以監控你的服務器的一舉一動,並且用web方式呈現給你,告訴你網絡,cpu,內存,硬盤等使用狀況,但是配置起來這個軟件實在是非常麻煩. 爲了安裝這個軟件且將其配置好,我上網查了兩天資料,最後整理總結了這一份完整的出來,分享給大家,希望對大家有用.如要轉載請注明出處www.7di.net 一.前期準備(1)MRTG需要以SNMP服务为基础,所以请确保你的系统已经启用了此服务,修改SNMP的配置:#vi /etc/snmp/snmp

Linux(centos)系统各个目录的作用详解

Linux(centos)系统各个目录的作用详解 文件系统的类型 LINUX有四种基本文件系统类型:普通文件.目录文件.连接文件和特殊文件,可用file命令来识别. 普通文件:如文本文件.C语言元代码.SHELL脚本.二进制的可执行文件等,可用cat.less.more.vi.emacs来察看内容,用mv来改名. 目录文件:包括文件名.子目录名及其指针.它是LINUX储存文件名的唯一地方,可用ls列出目录文件. 连接文件:是指向同一索引节点的那些目录条目.用ls来查看是,连接文件的标志用l开头,