forum.opennet.ru

Форум WEB технологии (nginx)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Создание и запись в файл на сервере., CHIM (ok), 05-Июн-17, (0) [смотреть все] –1

ответ в вопросе под каким пользователем работпет php-fpm , Аноним (-), 01:36 , 06-Июн-17, (1) //

Под nginx , CHIM (ok), 08:08 , 06-Июн-17, (2) –1

selinux , PavelR (??), 08:24 , 06-Июн-17, (3) //

getsebool -a 124 grep -i httphttpd_anon_write -- offhttpd_builtin_scripting , CHIM (ok), 09:29 , 06-Июн-17, (5) –1 //

С точки зрения ИБ неразумно разрешать создавать файлы в том же каталоге, откуда , PavelR (??), 04:18 , 07-Июн-17, (8)

gt оверквотинг удален Вы уверены что текущий каталог этот, путь то в fopen не , ПавелС (ok), 08:31 , 06-Июн-17, (4) //

gt оверквотинг удален Проверил, каталог верный , CHIM (ok), 09:29 , 06-Июн-17, (6) –1

В общем дело было в хитрых настройках SELinux Вот здесь я прочитал про нужные мн, CHIM (ok), 11:40 , 06-Июн-17, (7)

Сообщения [Сортировка по времени | RSS]

3. "Создание и запись в файл на сервере." +/–

Сообщение от PavelR (??), 06-Июн-17, 08:24

selinux ?

Ответить | Правка | Наверх | Cообщить модератору

5. "Создание и запись в файл на сервере." –1 +/–

Сообщение от CHIM (ok), 06-Июн-17, 09:29

> selinux ?
getsebool -a | grep -i http
httpd_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_connect_ftp --> off
httpd_can_connect_ldap --> off
httpd_can_connect_mythtv --> off
httpd_can_connect_zabbix --> off
httpd_can_network_connect --> on
httpd_can_network_connect_cobbler --> off
httpd_can_network_connect_db --> off
httpd_can_network_memcache --> off
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_dbus_avahi --> off
httpd_dbus_sssd --> off
httpd_dontaudit_search_dirs --> off
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> off
httpd_execmem --> off
httpd_graceful_shutdown --> on
httpd_manage_ipa --> off
httpd_mod_auth_ntlm_winbind --> off
httpd_mod_auth_pam --> off
httpd_read_user_content --> on
httpd_run_ipa --> off
httpd_run_preupgrade --> off
httpd_run_stickshift --> off
httpd_serve_cobbler_files --> off
httpd_setrlimit --> off
httpd_ssi_exec --> off
httpd_sys_script_anon_write --> off
httpd_tmp_exec --> off
httpd_tty_comm --> off
httpd_unified --> off
httpd_use_cifs --> off
httpd_use_fusefs --> off
httpd_use_gpg --> off
httpd_use_nfs --> off
httpd_use_openstack --> off
httpd_use_sasl --> off
httpd_verify_dns --> off
named_tcp_bind_http_port --> off
prosody_bind_http_port --> off
Неужели нужно первую строчку разрешать?
Но Вы похоже правы, дело в SELinux. Логи его говорят вот что:
type=AVC msg=audit(1496731832.959:389): avc: denied { write } for pid=23482 comm="php-fpm" name="config" dev="dm-0" ino=918003 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_sys_content_t:s0 tclass=dir
type=SYSCALL msg=audit(1496731832.959:389): arch=c000003e syscall=2 success=no exit=-13 a0=7ffe44a1a9b0 a1=c2 a2=1b6 a3=1d items=0 ppid=23478 pid=23482 auid=4294967295 uid=995 gid=993 euid=995 suid=995 fsuid=995 egid=993 sgid=993 fsgid=993 tty=(none) ses=4294967295 comm="php-fpm" exe="/usr/sbin/php-fpm" subj=system_u:system_r:httpd_t:s0 key=(null)
Здесь меня интересует вот что "name="config"" это по сути каталог в котором находится файл который я выполняю(т.е. код в котором говорится о том что нужно произвести запись в файл), в этом же каталоге я пытаюсь создать/изменить файл.

Ответить | Правка | Наверх | Cообщить модератору

8. "Создание и запись в файл на сервере." +/–

Сообщение от PavelR (??), 07-Июн-17, 04:18

> Здесь меня интересует вот что "name="config"" это по сути каталог в котором
> находится файл который я выполняю(т.е. код в котором говорится о том
> что нужно произвести запись в файл), в этом же каталоге я
> пытаюсь создать/изменить файл.
С точки зрения ИБ неразумно разрешать создавать файлы в том же каталоге, откуда разрешено исполнение скриптов.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Создание и запись в файл на сервере."	+/–
Сообщение от PavelR (??), 06-Июн-17, 08:24
selinux ?
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Создание и запись в файл на сервере."	–1 +/–
	Сообщение от CHIM (ok), 06-Июн-17, 09:29
	> selinux ? getsebool -a \| grep -i http httpd_anon_write --> off httpd_builtin_scripting --> on httpd_can_check_spam --> off httpd_can_connect_ftp --> off httpd_can_connect_ldap --> off httpd_can_connect_mythtv --> off httpd_can_connect_zabbix --> off httpd_can_network_connect --> on httpd_can_network_connect_cobbler --> off httpd_can_network_connect_db --> off httpd_can_network_memcache --> off httpd_can_network_relay --> off httpd_can_sendmail --> off httpd_dbus_avahi --> off httpd_dbus_sssd --> off httpd_dontaudit_search_dirs --> off httpd_enable_cgi --> on httpd_enable_ftp_server --> off httpd_enable_homedirs --> off httpd_execmem --> off httpd_graceful_shutdown --> on httpd_manage_ipa --> off httpd_mod_auth_ntlm_winbind --> off httpd_mod_auth_pam --> off httpd_read_user_content --> on httpd_run_ipa --> off httpd_run_preupgrade --> off httpd_run_stickshift --> off httpd_serve_cobbler_files --> off httpd_setrlimit --> off httpd_ssi_exec --> off httpd_sys_script_anon_write --> off httpd_tmp_exec --> off httpd_tty_comm --> off httpd_unified --> off httpd_use_cifs --> off httpd_use_fusefs --> off httpd_use_gpg --> off httpd_use_nfs --> off httpd_use_openstack --> off httpd_use_sasl --> off httpd_verify_dns --> off named_tcp_bind_http_port --> off prosody_bind_http_port --> off Неужели нужно первую строчку разрешать? Но Вы похоже правы, дело в SELinux. Логи его говорят вот что: type=AVC msg=audit(1496731832.959:389): avc: denied { write } for pid=23482 comm="php-fpm" name="config" dev="dm-0" ino=918003 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_sys_content_t:s0 tclass=dir type=SYSCALL msg=audit(1496731832.959:389): arch=c000003e syscall=2 success=no exit=-13 a0=7ffe44a1a9b0 a1=c2 a2=1b6 a3=1d items=0 ppid=23478 pid=23482 auid=4294967295 uid=995 gid=993 euid=995 suid=995 fsuid=995 egid=993 sgid=993 fsgid=993 tty=(none) ses=4294967295 comm="php-fpm" exe="/usr/sbin/php-fpm" subj=system_u:system_r:httpd_t:s0 key=(null) Здесь меня интересует вот что "name="config"" это по сути каталог в котором находится файл который я выполняю(т.е. код в котором говорится о том что нужно произвести запись в файл), в этом же каталоге я пытаюсь создать/изменить файл.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Создание и запись в файл на сервере."	+/–
	Сообщение от PavelR (??), 07-Июн-17, 04:18
	> Здесь меня интересует вот что "name="config"" это по сути каталог в котором > находится файл который я выполняю(т.е. код в котором говорится о том > что нужно произвести запись в файл), в этом же каталоге я > пытаюсь создать/изменить файл. С точки зрения ИБ неразумно разрешать создавать файлы в том же каталоге, откуда разрешено исполнение скриптов.
	Ответить \| Правка \| Наверх \| Cообщить модератору