@veezzz nginx 配置文件和 aureport -a 的结果贴一下

刚才查了以下，Nginx 你好像配错了......
http://wiki.nginx.org/UserDir

@veezzz DAC 权限和 SELinux 必须同时满足才能运行。

Sorry，漏掉了 boolean，是 setsebool -P httpd_enable_homedirs on

假设你的 Nginx 配置没有任何问题，并且运行 getenforce 的结果是 Enforcing。

首先你要让 SELinux 允许 httpd[1] 访问用户目录。很简单，root 运行 setsebool -P httpd_enable_homedirs 。
"-P" 的意思是 permanent，不带 -P 的话系统重启后恢复默认配置。

然后你要修改 /home/user/static 的 SELinux context。告诉 SELinux，允许此目录被 httpd 访问：
chcon -v -t httpd_user_content_t /home/user/static

没有意外的话应该就可以访问了。

简单易懂的关于 SELinux 的讲座： http://v.youku.com/v_show/id_XNDc3NzU4OTYw.html
Red Hat 出的 SELinux 手册： https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/SELinux_Users_and_Administrators_Guide/index.html

更多和 httpd 有关的 SELinux 开关：
getsebool -a | grep httpd
安装 selinux-policy-devel，然后 man httpd_selinux

[1] 在 RHEL/CentOS/Fedora 下，
httpd 包是 apache。但 apache 和 nginx 的 SELinux context 都是：system_u:system_r:httpd_t:s0。

@bugeye 没有看懂别人说什么、随便找个“漏洞”然后大书特书正气凛然。

“自我实现”不就是你们说的中二吗？对世界和自己几乎一无所知但是特别特别自信。

这和所有的鸡汤、鸡血文一样，用来自我感动和自我欺骗的。这是我觉得语文课无比恶心的原因：课本里净是这种玩意儿。抒情、排比、还有狗屁不通的比喻，内在逻辑混乱，他们把这个叫做有文采。

如果是面试销售类职位，而且面向的客户是低教育水平人士，可能会见一面。其他的都不考虑。很可能是愚蠢的自大狂、偏执狂。

isolate 是一次性的，重启失效。

sudo systemctl set-default multi-user.target

考虑到木马的入口是服务器上对外开放的服务，而在 Red Hat 系的系统里貌似所有的对外服务都有 SELinux 规则去限制（例如 httpd 只能操作 SELinux type 为 httpd_sys_content_t 的文件、httpd 不能主动发起网络连接等等等等...），SELinux 大概能把木马挡在外面。
Dan Walsh 科普过不少次 SELinux 了。 Red Hat 也提供了很详细的文档： https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/SELinux_Users_and_Administrators_Guide/index.html