Welcome! Log In Create A New Profile

Re: Невозможно изменить document root

Forum List Message List New Topic Print View

foboss

February 02, 2015 07:26AM

Registered: 10 years ago
Posts: 14

SELinux умеет объяснять, что делает. Однако получение этой информации
требует некоторых усилий. Например для вышеописанного случая с блокировкой
SSH диагностику можно провести так:

grep sshd /var/log/audit/audit.log | audit2why

Получим сообщение:

*type=AVC msg=audit(1382808690.186:75768): avc: denied { read } for
pid=26463 comm="sshd" name="authorized_keys2" dev=dm-0 ino=1441809
scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023
tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file*

2015-02-02 14:33 GMT+03:00 denis <denis@webmaster.spb.ru>:

> 28.01.2015 10:26, Eugene Peregudov пишет:
>
>>
>> ИМХО, очень зря решается выключением. В первую очередь разработчик
>> приложения и мэйнтейнер должны знать и предоставить информацию о том, какие
>> разрешения необходимы приложению для корректного выполнения, а в идеале еще
>> и написать policy-файл.
>>
>> Каждый раз когда кто-то выключает SELinux где-то плачет Dan Walsh (
>> http://stopdisablingselinux.com/)
>>
>> До тех пор, пока оно будет включено по умолчанию - все инструкции будут
> начинаться с "выключите selinux", потому что обычно настройка делается так
> - селинух выкл или в permissive, нормальная настройка всего что запускаем и
> разворачиваем, а потом уже смотрим по результату, какие права нужны.
> Плюс, пока нет чётких ошибок "selinux: на файле XXX нет прав на YYY",
> первым шагом диагностики всегда будет его отключение. Это как при сетевой
> мистике обычно первый шаг - отключить фаервол. Это неправильно, но сразу
> становится понятно, кто виноват.
> До кучи - рабочим и тестовым машинам selinux больше мешает чем помогает, и
> там выключить совсем - нормальное действие.
>
> Из самого банального: ssh, авторизация по ключам, .ssh создан, права 0700,
> authorized_keys создан, права 0600, все владельцы правильные. Ключ не
> принимало, пока не выключили selinux (!). В логах ничего про то, что
> выполнена блокировка селинухом. Итог: я тоже приучился первым делом
> выключать это зло, пока оно не научится само и внятно говорить, что не так.
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>

--
Best regards, Juriy Strashnov

Mob. +7 (953) 742-1550
E-mail: j.strashnov@me.com

Please consider the environment before printing this email.
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
Невозможно изменить document root	Dmitrij	January 28, 2015 01:10AM
Re: Невозможно изменить document root	Aleksey Miheev	January 28, 2015 01:26AM
Re: Невозможно изменить document root	Dmitrij	January 28, 2015 02:02AM
Re: Невозможно изменить document root	Andrei Belov	January 28, 2015 02:10AM
Re: Невозможно изменить document root	Eugene Peregudov	January 28, 2015 02:28AM
Re: Невозможно изменить document root	Konstantin Pavlov	January 28, 2015 03:56AM
Re: Невозможно изменить document root	Dmitrij	January 29, 2015 04:23AM
Re: Невозможно изменить document root	denis	February 02, 2015 06:34AM
Re: Невозможно изменить document root	foboss	February 02, 2015 07:26AM
Re: Невозможно изменить document root	Eugene Peregudov	February 02, 2015 08:12AM
Re: Невозможно изменить document root	Gena Makhomed	February 02, 2015 08:24AM
Re: Невозможно изменить document root	Илья Шипицин	February 02, 2015 09:56PM
Re: Невозможно изменить document root	ALex_hha	February 03, 2015 03:18AM
Re: Невозможно изменить document root	Илья Шипицин	February 02, 2015 09:54PM
Re: Невозможно изменить document root	Aleksandr Sytar	January 28, 2015 01:46AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 311

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018