Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

apache et problème de droit sur les dossiers

thierryR

Bonjour. Je suis en train de remettre en place mon système LAMP sur mon PC.

sudo systemctl enable httpd.service && systemctl start httpd.service

Apache démarre bien
Je demande à ce qu'il travaille avec un dossier dans mon /home/
J'ai donc fait un fichier de conf:

# Hôte virtuel par défaut
<VirtualHost *:80>
         # Activation des sites de quelques utilisateurs : http://localhost/~nomutilisateur
         UserDir  enabled  thierry
         UserDir  public_html
        <Directory /home/*/public_html>
                AllowOverride all
                Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
        </Directory>
         # Activation de l'adresse  : http://localhost/server-status
        <Location /server-status>
                SetHandler server-status
                Require ip 127.0.0.1
                Require ip ::1
        </Location>
        # Activation de l'adresse  : http://localhost/server-status
        <Location /server-status>
                SetHandler server-status
                Require ip 127.0.0.1
                Require ip ::1
        </Location>
         # Activation de l'adresse  : http://localhost/server-info
        <Location /server-info>
                SetHandler server-info
                Require ip 127.0.0.1
                Require ip ::1
        </Location>
</VirtualHost>

J'ai testé apache, mais si j'ouvre de fil c'est qu'il y a un hic.
Apache bloque quand il veut entrer dans /home/thierry
La console apache me dit:

cd /home
[apache@thierry home]$cd thierry
-bash: cd: thierry: Permission non accordée

Meme avec un chmod 777 j'ai encore le même résultat.
En plus je vois qu'il suffit de redémarrer le PC pour retrouver les droits d'origine sur le dossier.

Ne désarmant pas, J'ai essayé d’attribuer le groupe "thierry" à apache -> KO
J'ai essayé d’attribuer le groupe apache à thierry -> KO

Du côté SELinux j'ai pris mes précautions:

setsebool -P httpd_enable_homedirs 1
chcon -R -t httpd_sys_rw_content_t /home/thierry/public_html

J'ai vérifié:

getsebool -a|grep homedirs
git_cgi_enable_homedirs --> off
git_system_enable_homedirs --> off
httpd_enable_homedirs --> on
mock_enable_homedirs --> off
mpd_enable_homedirs --> off
openvpn_enable_homedirs --> on
ssh_chroot_rw_homedirs --> off

Au cas ou, j'ai même arrêté provisoirement :

setenforce 0

Après un reboot total: Il y a là une barrière bien difficile à franchir.

thierryR

Le problème est compliqué. Je comprends. J'ajoute un peu d'eau au moulin:

grep denied /var/log/audit/audit.log
type=AVC msg=audit(1604313604.940:230): avc:  denied  { write } for  pid=1225 comm="sddm-helper" name=".Xauthority" dev="nvme0n1p3" ino=137241 scontext=system_u:system_r:xdm_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0
type=AVC msg=audit(1604395466.029:348): avc:  denied  { execmem } for  pid=3441 comm="php-fpm" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=process permissive=0
type=AVC msg=audit(1605552717.897:329): avc:  denied  { read } for  pid=25447 comm="gdb" name="renderD128" dev="devtmpfs" ino=25065 scontext=system_u:system_r:abrt_t:s0-s0:c0.c1023 tcontext=system_u:object_r:dri_device_t:s0 tclass=chr_file permissive=0
type=AVC msg=audit(1605560043.924:341): avc:  denied  { read } for  pid=30093 comm="gdb" name="renderD128" dev="devtmpfs" ino=25065 scontext=system_u:system_r:abrt_t:s0-s0:c0.c1023 tcontext=system_u:object_r:dri_device_t:s0 tclass=chr_file permissive=0
type=AVC msg=audit(1605633287.031:389): avc:  denied  { execmem } for  pid=13318 comm="php-fpm" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=process permissive=0
type=AVC msg=audit(1605642457.767:348): avc:  denied  { execmem } for  pid=6859 comm="php-fpm" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=process permissive=1
type=AVC msg=audit(1605688771.813:299): avc:  denied  { execmem } for  pid=3252 comm="php-fpm" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=process permissive=0

nouvo09

C'est chiant de n'avoir que les résultats de commandes sans voir les commandes elles-mêmes ni les prompts.
On patauge dans les conjectures.

thierryR

Bonjour Nouvo09. Tu n'as pas les prompts mais les commandes y sont. La ou ça coince c'est ici: ( J'ai mis les prompts)

[root@thierry ~]# su -l apache -s /bin/bash
mkdir: cannot create directory '/usr/share/httpd/.local': Permission denied
[apache@thierry ~]$ cd /home
[apache@thierry home]$ cd thierry
-bash: cd: thierry: Permission non accordée
[apache@thierry home]$ls -ls
total 0
0 drwxrwx---+ 1 thierry thierry 2592 19 nov.  09:23 thierry

nouvo09

Mais pourquoi apache aurait-il le droit d'écrire dans ce répertoire thierry ?

tu vois à quoi ça sert les prompts ?

thierryR

OK je vois ta méthode... Voici la réponse. Elle est inscrite dans le fichier de conf pour apache que j'ai fait et installé en /etc/httpd/conf.d/ (post #1)

      UserDir  public_html
        <Directory /home/*/public_html>

Le fichier php à lire est dans

/home/thierry/public_html/php/asseleci/index.php

J'aurais peut être du commencer par "planter le décor" effectivement.

remi

[apache@thierry home]$ cd thierry
-bash: cd: thierry: Permission non accordée
[apache@thierry home]$ls -ls
total 0
0 drwxrwx---+ 1 thierry thierry 2592 19 nov.  09:23 thierry

If faut donner à apache le droit de traverser ce répertoire

chmod o+x  /home/thierry

thierryR

Effectivement j'ai vu cette commande dans la doc, mais elle est restée sans effet.

sbillois

J'ai exactement le même problème. Est-ce que tu as trouvé une solution ?