проблема с SELinux

0

2

SELinux не дает nginx доступ к uwsgi сокету, который находиться /run/uwsgi/myapp.sock

эти команды не работают $ sudo semanage fcontext -a -t 'httpd_log_t' '/run/uwsgi(/.*)?' $ sudo restorecon -R /var/run/uwsgi

как решить проблему?

Ссылка

←	Поиск и подсчет найденных слов в большом текстовом файле.

Openwrt не работает расписание правил

→

Дак /run или /var/run? Контекст на файл меняется?

mky ★★★★★
(24.10.14 04:40:11 MSK)

можно написать модуль для селинукса
http://wiki.centos.org/HowTos/SELinux#head-faa96b3fdd922004cdb988c1989e56191c...

xfilx ★★
(24.10.14 04:56:56 MSK)

Ссылка

Ответ на: комментарий от mky 24.10.14 04:40:11 MSK

/var/run контекст меняется

iYaroslav
(24.10.14 09:45:42 MSK) автор топика

Ссылка

Почему httpd_log_t? Это же не файл лога. Попробуй заменить на httpd_var_run_t. Ну и покажи

ls -alZ /run/uwsgi

Ivan_qrt ★★★★★
(24.10.14 12:18:33 MSK)

/run монтируется в tmpfs и /run/uwsgi каждый раз пересоздаётся?
Что говорит ls -Z /run/uwsgi и ls -Z /run/uwsgi/myapp.sock ?
По идее должно быть что-то типа:
-rw-r--r--. root root system_u:object_r:httpd_var_run_t:s0

как решить проблему?

Вместо uwsgi_pass unix:/tmp/uwsgi.socket; использовать uwsgi_pass localhost:9000;
C tcp сокетами такой проблемы нет.

imul ★★★★★
(24.10.14 12:20:01 MSK)

Ответ на: комментарий от Ivan_qrt 24.10.14 12:18:33 MSK

ls -alZ /run/uwsgi

drwxr-xr-x. uwsgi uwsgi system_u:object_r:httpd_var_run_t:s0 . drwxr-xr-x. root root system_u:object_r:var_run_t:s0 .. srwxr-xr-x. uwsgi uwsgi system_u:object_r:httpd_var_run_t:s0 stats.sock -rw-r--r--. root root system_u:object_r:httpd_var_run_t:s0 uwsgi.pid srwxrwxrwx. uwsgi uwsgi system_u:object_r:httpd_var_run_t:s0 myapp.sock

iYaroslav
(24.10.14 19:40:47 MSK) автор топика

Ответ на: комментарий от imul 24.10.14 12:20:01 MSK

Вместо uwsgi_pass unix:/tmp/uwsgi.socket; использовать uwsgi_pass localhost:9000;

Спасибо! работает, но хотелось бы решить проблему

iYaroslav
(24.10.14 19:44:00 MSK) автор топика

Ответ на: комментарий от iYaroslav 24.10.14 19:40:47 MSK

man lorcode

dhameoelin ★★★★★
(24.10.14 19:52:22 MSK)

Ссылка

Ответ на: комментарий от iYaroslav 24.10.14 19:44:00 MSK

Спасибо! работает, но хотелось бы решить проблему

проблема с SELinux (комментарий)
Пиши правило для сокета, или выноси сокет за пределы tmpfs, чтобы не приходилось пересоздавать контекст каждый раз.
А что не так с tcp сокетом? Почему такое желание привязаться к файлу? Быстрее не будет. Безопаснее тоже.

imul ★★★★★
(24.10.14 20:02:13 MSK)

Ответ на: комментарий от imul 24.10.14 20:02:13 MSK

или выноси сокет за пределы tmpfs, чтобы не приходилось пересоздавать контекст каждый раз.

/home/yaroslav/pyvenv/s/myapp.sock такая же проблема

А что не так с tcp сокетом? Почему такое желание привязаться к файлу? Быстрее не будет. Безопаснее тоже.

на хабре видел совет не использовать tcp сокет. только файловый

iYaroslav
(24.10.14 20:08:05 MSK) автор топика

Ответ на: комментарий от iYaroslav 24.10.14 19:40:47 MSK

drwxr-xr-x. uwsgi uwsgi system_u:object_r:httpd_var_run_t:s0 .
drwxr-xr-x. root root system_u:object_r:var_run_t:s0 ..
srwxr-xr-x. uwsgi uwsgi system_u:object_r:httpd_var_run_t:s0 stats.sock
-rw-r--r--. root root system_u:object_r:httpd_var_run_t:s0 uwsgi.pid
srwxrwxrwx. uwsgi uwsgi system_u:object_r:httpd_var_run_t:s0 myapp.sock

Так с selinux для myapp.sock у тебя полный порядок. Проблемы у процесса, который хочет стучаться в myapp.sock. Для него надо правило сделать через audit2allow и добавить в /etc/selinux/targeted/modules/active/modules.

imul ★★★★★
(24.10.14 20:10:30 MSK)

Ссылка

Ответ на: комментарий от iYaroslav 24.10.14 20:08:05 MSK

/home/yaroslav/pyvenv/s/myapp.sock такая же проблема

посмотри ls -Z /home/yaroslav/pyvenv/s/myapp.sock
сильно удивишься
ну и плюс посмотри файл аудита, что там пишется, когда происходит обращение к сокету.

на хабре видел совет не использовать tcp сокет. только файловый

это когда-то было актуально, без selinux, поскольку позволяло накладывать ещё и ограничения доступа через юниксовые rwx+user:group
С selinux абсолютно пофиг, тем более на 127.0.0.1
Удалось сделать правило с помощью audit2allow?

imul ★★★★★
(24.10.14 20:16:35 MSK)
Последнее исправление: imul 24.10.14 20:17:21 MSK (всего исправлений: 1)

Ответ на: комментарий от imul 24.10.14 20:16:35 MSK

Удалось сделать правило с помощью audit2allow?

да

 $ grep nginx /var/log/audit/audit.log | audit2allow -M mypol
$ semodule -i mypol.pp

насколько этот способ правильный? тру админы также делают?

iYaroslav
(24.10.14 20:36:47 MSK) автор топика

Ответ на: комментарий от iYaroslav 24.10.14 20:36:47 MSK

насколько этот способ правильный?

это штатный способ
теперь работает с uwsgi_pass unix:/run/uwsgi/myapp.sock; ?

Кстати, какие права и владелец:группа у /run/uwsgi ?
А то srwxrwxrwx на /run/uwsgi/myapp.sock как-то совсем по колхозному.

imul ★★★★★
(24.10.14 20:45:26 MSK)

Ответ на: комментарий от imul 24.10.14 20:45:26 MSK

теперь работает с uwsgi_pass unix:/run/uwsgi/myapp.sock; ?

да

Кстати, какие права и владелец:группа у /run/uwsgi ?

uwsgi:uwsgi

А то srwxrwxrwx на /run/uwsgi/myapp.sock как-то совсем по колхозному.

это только для тестового сервера

imul, большое вам спасибо за помощь

iYaroslav
(24.10.14 20:51:30 MSK) автор топика

Ответ на: комментарий от iYaroslav 24.10.14 20:51:30 MSK

uwsgi:uwsgi

а процесс nginx запускается как nginx:nginx?
Лучше конечно на каталог /run/uwsgi сделать srwxrwx... и владельца nginx:nginx. В настройках модуля наверняка где-то указывается. Иначе зачем делать именно файловый сокет по советам Ъ-админов с хабра, а потом его открывать всем на чтение и запись. Хотя конечно selinux спасёт в этом случае, но как я уже написал раньше именно такой вариант ничем не лучше и не безопаснее tcp сокета.

большое вам спасибо за помощь

на самом деле тебе ответ правильный дали ещё во втором комментарии, а я так, score набивал. :D

imul ★★★★★
(24.10.14 21:01:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Поиск и подсчет найденных слов в большом текстовом файле.

General

Openwrt не работает расписание правил

→

Похожие темы