我之前处理过类似的SELinux限制场景，你的问题核心在于Apache进程的SELinux安全上下文（httpd_t）被默认规则阻止执行UFW/iptables相关操作。虽然命令行切换到apache用户能跑sudo /sbin/ufw，但PHP的exec是在Apache的进程上下文里执行的，SELinux的限制比单纯的用户权限更严格——错误提示里的"Permission denied"其实是SELinux拦截后的误导信息，真正问题是上下文权限不足。

分步解决方案 #

1. 确认Apache的SELinux上下文 #

先确认Apache运行的安全上下文，执行：

ps -eZ | grep httpd

你会看到类似system_u:system_r:httpd_t:s0的输出，这说明Apache处于httpd_t上下文，这正是被限制的关键。

2. 重新生成并安装自定义SELinux模块 #

之前用audit2allow可能没捕获全所有需要的权限，建议重新走一遍流程：

• 先清空审计日志，方便只抓本次操作的错误记录：

sudo truncate -s 0 /var/log/audit/audit.log

• 运行你的PHP脚本触发UFW操作，让SELinux记录下拒绝事件；
• 用audit2allow生成自定义模块：

sudo audit2allow -a -M httpd_ufw

这会生成httpd_ufw.te（规则源码文件）和httpd_ufw.pp（可加载模块文件）；

• 安装生成的模块：

sudo semodule -i httpd_ufw.pp

3. 验证效果 #

开启SELinux强制模式：

sudo setenforce 1

然后测试你的PHP脚本，看看UFW命令是否能正常执行了。

4. 检查sudoers配置 #

确保apache用户已经被授权无需密码执行UFW命令，用visudo编辑sudoers文件（一定要用这个命令，避免语法错误导致sudo失效）：

sudo visudo

添加或确认这一行：
apache ALL=(ALL) NOPASSWD: /sbin/ufw

5. 备选方案：调整SELinux布尔值 #

如果模块方法还是不行，可以尝试放宽相关布尔值：

sudo setsebool -P httpd_can_network_connect on
sudo setsebool -P httpd_run_unconfined on

注意：httpd_run_unconfined会大幅放宽Apache的SELinux限制，只在万不得已时使用。

为什么命令行能执行？ #

命令行下sudo -u apache sudo /sbin/ufw是让apache用户在**user_t**上下文运行的，SELinux对普通用户的user_t限制比httpd_t宽松；但PHP的exec是在Apache的httpd_t上下文里执行，默认规则不允许这个上下文操作iptables/UFW，这就是两者的核心差异。

内容的提问来源于stack exchange，提问作者Brady Emerson