Habilitar la escritura de directorios/archivos por parte de httpd utilizando SELinux

Cuando un servidor tiene activado SELinux con la configuración enforcing, no es suficiente con establecer los permisos de lectura/escritura/ejecución; es necesario indicar además permisos adicionales de SELinux.

En el caso concreto de querer permitir la escritura, es necesario modificaciones sobre la configuración SELinux de los elementos en cuestión, indicando al sistema que la escritura está permitida en ellos por parte de httpd.

Para realizarlo de manera puntual, basta con ejecutar el comando

chcon -R -t httpd_sys_rw_content_t /path/to/site

Si lo que se deseamos es que estos cambios sean persistentes, tenemos que especificar un contexto nuevo en el sistema:

semanage fcontext -a -t httpd_sys_rw_content_t /path/to/site(/.*)?

Una vez creado, podemos aplicar los cambios:

restorecon -RF /path/to/site

Nota: Es posible indicar a SELinux que no distinga entre los distintos contextos de httpd y los trate a todos como uno sólo estableciendo la variable http_unified al valor 1.

Para más información, consulta la referencia httpd_selinux(8).

Última modificación: Feb 18, 2021