Depois de fazer algumas pesquisas, investiguei as diferenças entre eles usando o comando sesearch
:
$ sesearch --allow -s httpd_t -b httpd_read_user_content
Found 5 semantic av rules:
allow httpd_t user_home_dir_t : dir { ioctl read getattr lock search open } ;
allow httpd_t user_home_t : file { ioctl read getattr lock open } ;
allow httpd_t user_home_t : dir { ioctl read getattr lock search open } ;
allow httpd_t home_root_t : dir { getattr search open } ;
allow httpd_t home_root_t : lnk_file { read getattr } ;
$ sesearch --allow -s httpd_t -b httpd_enable_homedirs
Found 15 semantic av rules:
allow httpd_t user_home_dir_t : dir { ioctl read getattr lock search open } ;
allow httpd_t user_home_dir_t : lnk_file { read getattr } ;
allow httpd_t autofs_t : dir { ioctl read getattr lock search open } ;
allow httpd_t cifs_t : file { ioctl read getattr lock open } ;
allow httpd_t cifs_t : dir { ioctl read getattr lock search open } ;
allow httpd_t cifs_t : lnk_file { read getattr } ;
allow httpd_t nfs_t : file { ioctl read getattr lock open } ;
allow httpd_t nfs_t : dir { ioctl read getattr lock search open } ;
allow httpd_t nfs_t : lnk_file { read getattr } ;
allow httpd_t user_home_t : file { ioctl read getattr lock open } ;
allow httpd_t user_home_t : dir { ioctl read getattr lock search open } ;
allow httpd_t user_home_type : dir { getattr search open } ;
allow httpd_t user_home_type : lnk_file { read getattr } ;
allow httpd_t home_root_t : dir { ioctl read getattr lock search open } ;
allow httpd_t home_root_t : lnk_file { read getattr } ;
Todas as regras do http_read_user_content
estão incluídas no httpd_t -b httpd_enable_homedirs
. Ou seja, o escopo deste último é mais amplo que o anterior.
Como Michael disse corretamente, devemos ativar apenas o primeiro caso desejemos apenas colocar o documento raiz no diretório inicial de um usuário.