在配置apache服務時經(jīng)常遇到DocumentRoot must be a directory的錯誤提示，剛接觸到apache時折騰了幾個小時才找到錯誤的原因，出現(xiàn)這樣的錯誤一般都是由于selinux的原因。

SELinux(Security-Enhanced Linux) 是美國國家安全局（NSA）對于強制訪問控制的實現(xiàn)，是 Linux® 上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在他的任務中所需要文 件。SELinux 默認安裝在 Fedora 和 Red Hat Enterprise Linux 上，也可以作為其他發(fā)行版上容易安裝的包得到。
????? Apache - "Document root must be a directory" 問題？

有可能和這個問題并發(fā)的問題還有 403 Forbidden　禁止訪問的問題。

現(xiàn)象描述：

不使用系統(tǒng)默認的 /var/www/html作為系統(tǒng)的Document Root，自己新建一個目錄后修改

/etc/httpd/conf/httpd.conf 中的配置，然后重起Apache的Daemon，發(fā)現(xiàn)Apache無法起動，系統(tǒng)報錯：

　檢查 avcmessage，查看 /var/log/messages文件，發(fā)現(xiàn)有類似以下內(nèi)容的這樣一段：

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

path=/var/www/html/about.html dev=dm-0 ino=373900

scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t

tclass=file

用

???? #semanage fcontext -l | grep '/var/www'

獲知默認/var/www目錄的 SELinux 上下文：/var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0從中可以看到 Apache 只能訪問包含httpd_sys_content_t標簽的文件。

????? 假設要Apache 使用/www作為網(wǎng)站文件目錄，那么就需要給這個目錄下的文件增加httpd_sys_content_t標簽，分兩步實現(xiàn)。

?????? 首先為 /www 這個目錄下的文件添加默認標簽類型：

????? #semanage fcontext -a -t httpd_sys_content_t'/srv/www(/.*)?'

?????? 然后用新的標簽類型標注已有文件：

?????? #restorecon -Rv /srv/www

?????? 之后 Apache 就可以使用該目錄下的文件構(gòu)建網(wǎng)站了。

解決辦法2：

很簡單，把目錄或文件的策略類型改成 httpd_sys_content_t 就可以了。

# chcon -t httpd_sys_content_t [file_name | dir_name]
# chcon -R -h -t httpd_sys_content_t /www
然后可以用 ls -laZ 命令查看文件目錄的策略類型。(T002)

解決方法3：

關(guān)掉selinux??
#setenforce 0

解決方法4：
或者更改/root/website這個文件的selinux屬性，讓它匹配httpd這個服務器的要求
怎么改？我們可以復制/var/www/html這個目錄的selinux屬性
#chcon -R --reference /var/www/html /root/website
然后在重啟服務，之后你就看到它沒有報錯了
不過你去訪問localhost的時候，會發(fā)現(xiàn)訪問拒絕 這是為什么呢？主要是因為你的/root的權(quán)限是750,ahache這個用戶沒有權(quán)限訪問，你需要更改掉權(quán)限，可以這樣改
#chmod -R 755 /root
然后去訪問 發(fā)現(xiàn)正常了

延伸閱讀：SELinux簡介

RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在于集成了SELinux的支持。

SELinux的全稱是Security-Enhanced Linux，是由美國國家安全局NSA開發(fā)的訪問控制體制。

SELinux可以最大限度地保證Linux系統(tǒng)的安全。至于它的作用到底有多大，舉一個簡單的例子可以證明：

沒有SELinux保護的Linux的安全級別和Windows一樣，是C2級，但經(jīng)過保護SELinux保護的Linux，安全級別

則可以達到B1級。如：我們把/tmp目錄下的所有文件和目錄權(quán)限設置為0777，這樣在沒有SELinux保護的情

況下，任何人都可以訪問/tmp 下的內(nèi)容。而在SELinux環(huán)境下，盡管目錄權(quán)限允許你訪問/tmp下的內(nèi)容，

但SELinux的安全策略會繼續(xù)檢查你是否可以訪問。

NSA推出的SELinux安全體系結(jié)構(gòu)稱為 Flask，在這一結(jié)構(gòu)中，安全性策略的邏輯和通用接口一起封裝在與

操作系統(tǒng)獨立的組件中，這個單獨的組件稱為安全服務器。SELinux的安全服務器定義了一種混合的安全性

策略，由類型實施 (TE)、基于角色的訪問控制 (RBAC) 和多級安全(MLS) 組成。通過替換安全服務器，可

以支持不同的安全策略。SELinux使用策略配置語言定義安全策略，然后通過checkpolicy 編譯成二進制形

式，存儲在文件(如目標策略/etc/selinux/targeted/policy/policy.18)中，在內(nèi)核引導時讀到內(nèi)核空間

。這意味著安全性策略在每次系統(tǒng)引導時都會有所不同。

SELinux的策略分為兩種，一個是目標(targeted)策略，另一個是嚴格(strict)策略。有限策略僅針對部分

系統(tǒng)網(wǎng)絡服務和進程執(zhí)行SELinux策略，而嚴厲策略是執(zhí)行全局的NSA默認策略。有限策略模式下，9個（可

能更多）系統(tǒng)服務受SELinux監(jiān)控，幾乎所有的網(wǎng)絡服務都受控。

配置文件是/etc/selinux/config，一般測試過程中使用“permissive”模式，這樣僅會在違反SELinux規(guī)

則時發(fā)出警告，然后修改規(guī)則，最后由用戶覺得是否執(zhí)行嚴格“enforcing”的策略，禁止違反規(guī)則策略的

行為。

規(guī)則決定SELinux的工作行為和方式，策略決定具體的安全細節(jié)如文件系統(tǒng)，文件一致性。



在安裝過程中，可以選擇“激活”、“警告”或者“關(guān)閉”SELinux。默認設置為“激活”。

安裝之后，可以在“應用程序”-->“系統(tǒng)設置”-->“安全級別”，或者直接在控制臺窗口輸入“system

-config- securitylevel”來打開“安全級別”設置窗口。在“SELinux”選項頁中，我們不但可以設置“

啟用”或者“禁用”SELinux，而且還可以對已經(jīng)內(nèi)置的SELinux策略進行修改。

SELinux相關(guān)命令：

ls -Z

ps -Z

id -Z

分別可以看到文件,進程和用戶的SELinux屬性。

chcon 改變文件的SELinux屬性。

getenforce/setenforce查看和設置SELinux的當前工作模式。

修改配置文件/etc/selinux/config后，需要重啟系統(tǒng)來啟動SELinux新的工作模式。

http://dadait.blog.163.com/blog/static/3207916201361122548407/

總結(jié)

以上是生活随笔為你收集整理的linux CentOs 权限导致的Apache - DocumentRoot must be a directory的解决方案的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。