LuMa's questions

我刚刚注意到，在我执行的每次全新 CentOS 7 (7.2) 安装之后，都会在根文件夹 ( /root) 中创建两个文件：

• openscap_data文件夹
• anaconda-ks.cfg文件

据我了解，openscap_scanner 是一个漏洞扫描程序，在安装后运行并将其扫描放入/root/openscap_data. 我假设我可以删除该文件夹，因为我没有使用 openscap（不是故意的）。并且anaconda-ks.cfg是由 GUI 安装程序创建的“安装模板”。因为它存储了我的散列根密码，所以我不确定是否应该保留这个文件。

有什么建议么？

我在我的 CentOS 7 机器上运行 nginx。每天我都会运行一个生成新 Diffie-Hellman 参数的 cron 作业。它们保存在/etc/ssl/dh/dhparam.pem. 但是 SELinux 阻止 nginx 读取这个文件。

这是 nginx 错误日志中的行：

nginx[3189]: nginx: [emerg] BIO_new_file("/etc/ssl/dh/dhparam.pem") failed (SSL: error:0200100D:system library:fopen:Permission denied:fopen('/etc/ssl/dh/dhparam.pem','r') error:2006D002:BIO routines:BIO_new_file:system lib)

这是审核日志：

type=AVC msg=audit(1473285202.181:334): avc:  denied  { open } for  pid=1393 comm="nginx" path="/etc/ssl/dh/dhparam.pem" dev="dm-1" ino=101646309 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
type=AVC msg=audit(1473285832.647:743): avc:  denied  { open } for  pid=2958 comm="nginx" path="/etc/ssl/dh/dhparam.pem" dev="dm-1" ino=101646309 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
type=AVC msg=audit(1473287010.821:803): avc:  denied  { open } for  pid=3083 comm="nginx" path="/etc/ssl/dh/dhparam.pem" dev="dm-1" ino=101646316 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
type=AVC msg=audit(1473287142.871:826): avc:  denied  { open } for  pid=3118 comm="nginx" path="/etc/ssl/dh/dhparam.pem" dev="dm-1" ino=101646309 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
type=AVC msg=audit(1473287172.480:843): avc:  denied  { open } for  pid=3134 comm="nginx" path="/etc/ssl/dh/dhparam.pem" dev="dm-1" ino=101646309 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
type=AVC msg=audit(1473287681.994:866): avc:  denied  { open } for  pid=3189 comm="nginx" path="/etc/ssl/dh/dhparam.pem" dev="dm-1" ino=101646309 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file

我对 SELinux 不是很熟悉（我知道我应该了解这一点）：如何在不禁用 SELinux（或将其设置为允许）的情况下授予 nginx 访问权限？

我在 CentOS 7 上运行 Apache。我已经配置了多个虚拟主机。它们的根目录位于/var/www/html/{example.com, sub1.example.com, etc.}. 我还配置了一个000-default.confvhost 以将所有传入流量（其中一个虚拟主机未覆盖）重定向到主文档根目录 ( /var/www/html) 并显示一个空白页面。

但是知道我面临一个严重的安全问题：如果访问者被重定向到带有空白 index.html 文件的文档根目录，他可以在 URL 后面附加“/example.com”并访问该目录。这可能看起来并不危险，但想象一下，例如，如果在那里安装了一个 Laravel 应用程序，它有一个公用文件夹 ( /var/www/html/example.com/public)。然后访问者将能够浏览 laravel 目录及其所有配置文件！

我怎样才能防止这种情况？