semanage fcontext -a 添加的规则不会立即生效,必须执行 restorecon -rv /data 应用标签;路径需用 /data(/.*)? 格式匹配子目录;读写权限需选对应类型(_content_t 或 _rw_content_t);还需检查布尔值如 httpd_read_user_content 和挂载选项。
为什么 semanage fcontext -a -t httpd_sys_content_t 加了规则却没生效
SELinux 的上下文规则不是“添加即生效”,它只注册策略模板,不自动重打标签。你运行完命令后,/data 目录本身还是原来的上下文(比如 default_t 或 unlabeled_t),httpd 依然被拒绝访问。
- 必须手动执行
restorecon -Rv /data才会把新规则应用到实际文件上 -
-v能看到哪些文件被重打了标签,确认是否真改了 - 如果
/data是挂载点(比如挂了单独磁盘),得加-F强制递归处理子挂载,否则子目录可能跳过 - 检查是否误用了
chcon临时改过标签——它会覆盖semanage规则,且重启或restorecon后丢失
该用 httpd_sys_content_t 还是 httpd_sys_rw_content_t
取决于你的应用要不要写入 /data。静态网站读 HTML、CSS 没问题;但 CMS 上传图片、缓存生成、日志写入等操作,需要写权限。
- 只读场景(如纯静态资源):用
httpd_sys_content_t安全够用 - 需要写入(如 WordPress 上传、Django media):必须换
httpd_sys_rw_content_t,否则报Permission denied即使上下文对了 - 别硬套
httpd_sys_script_exec_t——那是给 CGI/PHP-FPM 执行脚本用的,不是给数据目录的
常见错误现象:httpd 日志里只写 Permission denied,但 ls -Z 显示上下文已对
这时候大概率是 SELinux 布尔值关着,而不是上下文问题。默认很多发行版会禁用 httpd 对非标准路径的网络访问能力。
- 运行
getsebool -a | grep httpd,重点看httpd_read_user_content和httpd_can_network_connect - 如果要读取 NFS 或远程挂载的
/data,还得开httpd_use_nfs - 临时测试可
setsebool -P httpd_read_user_content on,但生产环境建议先确认是否真需要 - 注意
-P是永久生效,不加就是重启失效——别漏掉,否则第二天又跪
路径匹配不准导致规则压根没命中
semanage fcontext 的正则匹配很严格,写成 /data 不等于覆盖 /data/subdir,更不等于 /data/(末尾斜杠有影响)。
- 推荐写成
/data(/.*)?——这是 SELinux 策略里标准的“该路径及所有子路径”写法 - 避免用
/data/*,它不匹配/data本身,只匹配一级子项 - 运行
semanage fcontext -l | grep /data确认规则已存在且正则正确 - 如果
/data是符号链接,规则不会自动穿透到目标路径,得单独为真实路径加规则
最麻烦的是挂载时用了 noexec 或 nosuid 选项,SELinux 规则再对也拦不住内核级限制——得检查 mount | grep data。
