Selinux 阻止来自 php 的 crontab 命令

我们的服务器上有 Fedora 25 和 apache。
我想要这样做，以便我们网站上的 php 脚本可以更改 crontab 设置。

我创建了以下测试 php 脚本：

<?php
system("echo '*/2 * * * * date > /var/www/logs/testlog.txt' | crontab - 2>&1");

但这没有用。我收到消息：

/var/spool/cron/#tmp.mh203-95.XXXXG0KrFF：权限被拒绝

我查看了输出sealert -a /var/log/audit/audit.log并发现：

SELinux 正在阻止 crontab 对目录 /var/spool/cron 进行写访问。

好的。听起来 apache 不允许写访问/var/spool/cron因为该目录没有httpd_sys_rw_content_t label。 所以我执行了命令：chcon -v -R -t httpd_sys_rw_content_t /var/spool/cron

我的 php 脚本开始工作。 crontab -l 命令给出了正常的输出。
但新的问题又出现了。 :( cron 任务没有执行。

在 /var/log/cron 中我看到了错误：

Mar 23 18:05:01 mh203-95 crond[1653]: (apache) Unauthorized SELinux context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 file_context=system_u:object_r:httpd_sys_rw_content_t:s0 (/var/spool/cron/apache)
Mar 23 18:05:01 mh203-95 crond[1653]: (apache) FAILED (loading cron table)

经过多次研究...我发现 /var/spool/cron 必须有user_cron_spool_t标签。所以我执行了：chcon -v -R -t user_cron_spool_t /var/spool/cron.

cron 任务开始工作。但我的 php 脚本又不能工作了。和一开始的问题一样。

sealert 建议使用以下命令：
ausearch -c 'crontab' --raw | ausearch -c 'crontab' --raw | audit2allow -M my-crontab
semodule -X 300 -i my-crontab.pp
但这没有帮助。

我缺少什么？ 如何解决问题？ 我可以以某种方式组合两个标签吗user_cron_spool_t and httpd_sys_rw_content_t for /var/spool/cron directory?

我已经解决了这个问题。

原因在于：sealert 在所有建议的命令中生成相同的政治名称 my-crontab。新政治覆盖了旧政治。
只需要稍微更改一下这个名称即可。

所以我执行了：

ausearch -c 'crontab' --raw | ausearch -c 'crontab' --raw | audit2allow -M my-crontab
semodule -X 300 -i my-crontab.pp

ausearch -c 'crontab' --raw | ausearch -c 'crontab' --raw | audit2allow -M my-crontab2
semodule -X 300 -i my-crontab2.pp

ausearch -c 'crontab' --raw | ausearch -c 'crontab' --raw | audit2allow -M my-crontab3
semodule -X 300 -i my-crontab3.pp
...

在每次 ausearch 之前......我执行：
echo -n "" > /var/log/audit/audit.log
我的 PHP 脚本。
sealert -a /var/log/audit/audit.log