DVWA项目在Fedora系统上的安装与权限问题解析

问题背景

在使用Fedora 37系统安装DVWA安全测试环境时，用户遇到了访问权限问题。当尝试访问setup.php或其他页面时，系统返回"Access denied"错误。本文将深入分析这一问题的原因，并提供完整的解决方案。

环境配置

系统环境为：

• 操作系统：Fedora 37
• Web服务器：Apache 2.4.58
• PHP版本：8.1.25
• 安装路径：/var/www/html/DVWA

错误现象分析

从Apache错误日志中可以看到几个关键错误信息：

1. 目录索引问题：

Cannot serve directory /var/www/html/: No matching DirectoryIndex (index.html,index.php) found

2. PHP脚本执行权限问题：

Unable to open primary script: /var/www/html/DVWA/index.php (Permission denied)

3. 同样出现在setup.php文件：

Unable to open primary script: /var/www/html/DVWA/setup.php (Permission denied)

问题诊断

1. 目录索引配置

虽然用户已经修改了httpd.conf文件中的DirectoryIndex设置，但错误日志显示Apache仍然无法找到有效的索引文件。这表明配置可能未被正确加载或存在其他限制。

2. 文件权限问题

从ls -al命令输出可以看到：

• 文件和目录权限设置为644和755，这通常是合理的
• 所有者和组设置为root，这在生产环境中可能不够安全
• 测试文件a.php可以正常访问，而DVWA文件不能，说明问题可能不在基本权限设置

3. SELinux安全机制

Fedora系统默认启用SELinux，这是Linux的一个安全模块，会对文件和进程访问进行额外控制。即使传统权限设置正确，SELinux策略仍可能阻止Web服务器访问特定文件。

解决方案

1. 基础权限设置

确保Web服务器用户(通常是apache或www-data)对DVWA目录有适当访问权限：

chown -R apache:apache /var/www/html/DVWA
chmod -R 755 /var/www/html/DVWA

2. SELinux配置调整

检查当前SELinux状态：

sestatus

临时设置SELinux为宽容模式测试：

setenforce 0

如需永久修改(不推荐生产环境)：

setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/config

更安全的做法是设置正确的SELinux文件上下文：

chcon -R -t httpd_sys_content_t /var/www/html/DVWA

3. Apache配置验证

确认Apache配置中包含：

<Directory "/var/www/html">
    Options Indexes FollowSymLinks
    AllowOverride All
    Require all granted
</Directory>

4. PHP-FPM配置检查

如果使用PHP-FPM，确保池配置中的用户与Web服务器用户匹配，并检查socket文件权限。

最佳实践建议

1. 开发环境可以考虑临时禁用SELinux进行测试，但生产环境应保持启用并正确配置策略。

2. 建议将Web内容存放在/var/www以外的目录时，确保正确设置SELinux上下文。

3. 定期检查Apache错误日志，可以快速定位权限相关问题。

4. 考虑使用专门的Web服务器用户组，而非直接使用root权限。

通过以上步骤，应该能够解决DVWA在Fedora系统上的访问权限问题。如果问题仍然存在，建议检查系统防火墙设置和AppArmor等其他安全模块的配置。