मेरे पास एक यूनिक्स सॉकेट के माध्यम से gunicorn करने के लिए nginx अग्रेषण अनुरोध हैं /run/gunicorn/socket
। डिफ़ॉल्ट रूप से, यह व्यवहार SELinux द्वारा अनुमति नहीं है:
grep nginx /var/log/audit/audit.log
type=SERVICE_START msg=audit(1454358912.455:5390): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=nginx comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
type=AVC msg=audit(1454360194.623:7324): avc: denied { write } for pid=9128 comm="nginx" name="socket" dev="tmpfs" ino=76151 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=sock_file
type=SYSCALL msg=audit(1454360194.623:7324): arch=c000003e syscall=42 success=no exit=-13 a0=c a1=1f6fe58 a2=6e a3=7ffee1da5710 items=0 ppid=9127 pid=9128 auid=4294967295 uid=995 gid=993 euid=995 suid=995 fsuid=995 egid=993 sgid=993 fsgid=993 tty=(none) ses=4294967295 comm="nginx" exe="/usr/sbin/nginx" subj=system_u:system_r:httpd_t:s0 key=(null)
type=AVC msg=audit(1454361591.701:13343): avc: denied { connectto } for pid=9128 comm="nginx" path="/run/gunicorn/socket" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=unix_stream_socket
type=SYSCALL msg=audit(1454361591.701:13343): arch=c000003e syscall=42 success=no exit=-13 a0=c a1=1f6fe58 a2=6e a3=7ffee1da5950 items=0 ppid=9127 pid=9128 auid=4294967295 uid=995 gid=993 euid=995 suid=995 fsuid=995 egid=993 sgid=993 fsgid=993 tty=(none) ses=4294967295 comm="nginx" exe="/usr/sbin/nginx" subj=system_u:system_r:httpd_t:s0 key=(null)
हर जगह मैं देखता हूं (उदाहरण के लिए, यहां और यहां ), यह कहने के लिए सक्षम करने के निर्देश nginx के लिए अनुरोध करने के लिए है, अनुरोध को SELinux द्वारा अस्वीकार कर दिया जाना चाहिए, फिर audit2allow
भविष्य के अनुरोधों को अनुमति देने के लिए चलाएं । मैं किसी भी समझ नहीं chcon
या semanage
आदेश है कि इस व्यवहार को स्पष्ट रूप से अनुमति देता है।
क्या यह एकमात्र तरीका है? यह हास्यास्पद लगता है कि आप एक ऐसी नीति स्थापित नहीं कर सकते हैं जो पहले से ही बिना किसी प्रयास के इनकार किए बिना सॉकेट को लिखने की अनुमति देता है और फिर एक उपकरण चला रहा है जो उन चीजों को सक्षम बनाता है जिन्हें अस्वीकार कर दिया गया था। आप कैसे जानते हैं कि वास्तव में क्या सक्षम किया जा रहा है? यह कैसे काम करना है अगर आपके स्वचालन के तहत मशीनों की स्थापना की जाए?
मैं CentOS 7 का उपयोग कर रहा हूं।