SELinux拒絕clamscan刪除nginx伺服器上的上傳文件

在我的 nginx 伺服器上，上傳的文件上下文設置為：

-rw-rw-r--. nginx nginx system_u:object_r:httpd_sys_rw_content_t:s0 eicar.sh.pdf

上傳後，clamscan 執行以使用*php exec()*作為 nginx 使用者驗證文件。

/usr/bin/clamscan --quiet --remove /opt/myserver/files/eicar.sh.pdf

當 clamscan 嘗試刪除該文件*（其 EICAR 測試文件）*時，這會引發 SeLinux 寫訪問拒絕。

審計日誌建議創建一個我不贊成的策略：

# ausearch -c 'clamscan' --raw | audit2allow -M my-clamscan
# semodule -i my-clamscan.pp

這些已經設置：

sudo setsebool -P antivirus_can_scan_system 1
sudo setsebool -P antivirus_use_jit 1

**問：**有沒有辦法通過文件上下文來解決這個問題，但不想失去文件的目前上下文 httpd_sys_rw_content_t。

將antivirus_t設置為permissive有效。這使得 SeLinux 不會對所有防病毒軟體強制執行其策略。

sudo semanage permissive -a antivirus_t

引用自：https://unix.stackexchange.com/questions/442934