SREチーム エンジニアの阿久津です。
今回はApacheの403 Forbiddenが表示された時のチェックポイントについて記事にしたいと思います。

環境

  • Vagrant 1.9.5
  • CentOS Linux release 7.1.1503 (Core)
  • Apache 2.4.6

前提

  • 設定ファイル
     /etc/httpd/conf/httpd.conf

  • DocumentRoot
     /var/hoge

  • テストページ
     /var/hoge/index.html

事象

テストページを表示しようとすると403 Forbiddenが表示される。

Forbidden

チェックポイント

①Apacheの再起動をしていない

設定ファイルを変更した場合、Apacheを再起動しないと変更が反映されません。
そのため再起動していない場合は、実施します。

■再起動
$ sudo systemctl restart httpd.service
■リロード

Apacheを終了したくない場合は、以下を実行して下さい。

$ sudo systemctl reload httpd.service

②ファイルに読み取り権限がない

権限には「所有者」「所有グループ」「その他のユーザ」がありますが、「その他のユーザ」に読み取り権(r)が付与されているか確認してください。
※今回の場合だと、/var/hoge/index.html の権限になります。

■その他のユーザに読み取り権がない場合
$ ls -l /var/hoge/index.html
-rw-r----- 1 root root 19 11月 26 11:21 /var/hoge/index.html
■対応

ファイルに読み取り権を付与します。

$ sudo chmod o+r /var/hoge/index.html

$ ls -l /var/hoge/index.html
-rw-r--r-- 1 root root 19 11月 26 11:21 /var/hoge/index.html

③ディレクトリの権限に実行権がない

DocumentRootまでの各ディレクトリで、「その他のユーザ」に実行権(x)が付与されているか確認してください。
今回だと「/」, 「/var」, 「/var/hoge」の3つの内のいずれかにディレクトリに実行権(x)がないと、テストページが表示されません。

■ /var/hoge/ に実行権がない場合
$ ls -ld /var/hoge/
drwxr-xr-- 2 root root 23 11月 26 20:22 /var/hoge/
■対応

ディレクトリに実行権を付与する。

$ sudo chmod o+x /var/hoge

$ ls -ld /var/hoge
drwxr-xr-x 2 root root 23 11月 26 20:22 /var/hoge/

④httpd.confのDirectoryセクションの設定を見直す

Directoryセクション内のRequireの設定を確認しましょう。

■すべてのアクセスを拒否する場合
$ cat /etc/httpd/conf/httpd.conf

<Directory "/var/hoge">
    Options Indexes FollowSymLinks

    AllowOverride None

    Require all denied    ← 全てのアクセスを拒否
</Directory>
...

上記のようにRequireで「all denied」と記述すると、どこからでもアクセス不可となってしまいテストページが表示されません。
そのため以下のような方法でテストページへのアクセスを許可することができます。

■すべてのアクセスを許可する場合
...
<Directory "/var/hoge">
    Options Indexes FollowSymLinks

    AllowOverride None

    Require all granted    ← 全てのアクセスを許可
</Directory>
...
■特定のIPのみアクセスを許可する場合
...
<Directory "/var/hoge">
    Options Indexes FollowSymLinks

    AllowOverride None

    Require 192.168.1.0/24    ← 指定したIPからのみアクセスを許可
</Directory>
...

⑤SELinuxが有効になっている

SELinuxが有効になっている場合、DocumentRootへのアクセスが拒否されている可能性があります。
SELinuxを利用する予定がない場合は無効に設定しましょう。

⑤-1. SELinuxを無効にする場合

■SELinuxの状態確認
$ getenforce
Enforcing

Enforcingと表示される場合、SELinuxは有効になっている状態です。

■SELinuxを無効にする

SELinuxの設定ファイルは /etc/selinux/config になるため、こちらを編集します。

$ sudo vi /etc/selinux/config
...
SELINUX=disabled     ← enforcing から disabled に変更
...
■サーバ再起動

SELinuxの設定を反映するためにサーバの再起動を行います。

$ sudo shutdown -r now
■SELinuxの状態を再度確認
$ getenforce
Disabled

Disabledと表示されれば、SELinuxは無効に変更されています。

⑤-2. SELinuxを有効のまま運用する場合

新しいDocumentRootにはSELinuxのラベルを付ける必要があります。

■元DocumentRootのラベルを確認
$ ls -ld --context /var/www/html
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html
■ラベルの付与

新DocumentRootに元DocumentRootと同じラベルを付与します。

$ sudo chcon system_u:object_r:httpd_sys_content_t:s0 /var/hoge -R
■ラベルの確認

以下のように表示されていれば、元DocumentRootと同じラベルが付与されています。

$ ls -ld --context /var/hoge
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/hoge

まとめ

今回はApacheで403 Forbiddenが表示された時のチェックポイントを記事にさせていただきました。
DocumentRootのファイルやディレクトリの権限を確認しても問題なさそうなのにどうして表示されないの…と思っていたらSELinuxの影響が原因だったという躓きがありました。
もし同じ場所で躓いている方に少しでも参考になりましたら幸いです。

Wedding Parkでは一緒に技術のウエディングパークを創っていくエンジニアを募集しています。
興味のある方はぜひ一度気軽にオフィスに遊びにいらして頂ければと思います。

IT×ブライダルで業界を変える!プロフェッショナルなWEBエンジニア募集!

Join Us !

ウエディングパークでは、一緒に働く仲間を募集しています!
ご興味ある方は、お気軽にお問合せください(カジュアル面談から可)

採用情報を見る