Selinux + spawn-fcgi
Neutron 5 октября, 2011 - 11:10
Кто нибудь знает как можно разрешить запуск nginx + spawn-fcgi под Gentoo selinux, nginx то запускается а вот spawn-fcgi не хочет из за getebool значения но его там нет и я не знаю как дать доступ ему
»
- Для комментирования войдите или зарегистрируйтесь
.
Очевидно, что надо написать политику. Но так как телепаты в бессрочном отпуске, а гвайд гентоо по селинуксу ты не прочитал и логов не предоставил, то нам остается только гадать о версии и типе политик селинукса на твоей машине; Поэтому из-за недостаточности информации помочь тебе врядли можно.
http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml?part=2&chap=5
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Может стоит в сторону php-fpm
Может так же стоит в сторону nginx + php-fpm посмотреть?
ReinForce написал(а):Может
* Use of the opts variable is deprecated and will be
* removed in the future.
* Please use extra_commands or extra_started_commands.
* Starting PHP FastCGI Process Manager ...
[11-Oct-2011 15:28:39] WARNING: [pool www] pm.start_servers is not set. It's been set to 20.
[11-Oct-2011 15:28:39] ERROR: bind() for address '/var/run/php/fcgi-php.sock' failed: Permission denied (13) [ !! ]
* ERROR: php-fpm failed to start
# ls -Zn /var/run/
total 44
drwxr-xr-x. 2 60 60 system_u:object_r:mysqld_var_run_t 4096 Oct 11 14:20 mysqld
-rw-r--r--. 1 0 0 system_u:object_r:nginx_var_run_t 6 Oct 11 15:00 nginx.pid
drwxr-xr-x. 2 0 0 system_u:object_r:var_run_t 4096 Oct 11 15:35 php
-rw-r--r--. 1 0 0 system_u:object_r:initrc_var_run_t 5 Oct 11 15:35 php-fpm.pid
-rw-------. 1 0 0 system_u:object_r:initrc_var_run_t 512 Oct 11 14:20 random-seed
drwxr-xr-x. 2 0 0 system_u:object_r:pam_var_run_t 4096 Sep 22 15:36 sepermit
drwx------. 2 0 0 system_u:object_r:var_run_t 4096 Oct 11 15:08 spawn-fcgi
-rw-r--r--. 1 0 0 system_u:object_r:sshd_var_run_t 5 Oct 11 14:20 sshd.pid
srwxr-xr-x. 1 0 0 system_u:object_r:var_run_t 0 Oct 11 14:20 syslog-ng.ctl
-rw-r--r--. 1 0 0 system_u:object_r:syslogd_var_run_t 5 Oct 11 14:20 syslog-ng.pid
-rw-rw-r--. 1 0 406 system_u:object_r:initrc_var_run_t 5376 Oct 11 14:26 utmp
логи avc
Oct 11 15:31:44 pub kernel: [ 4267.767724] type=1400 audit(1318325504.882:132): avc: denied { create } for pid=32298 comm="php-fpm" name="fcgi-php.sock" scontext=system_u:system_r:initrc_t tcontext=system_u:object_r:var_run_t tclass=sock_file
Oct 11 15:32:47 pub kernel: [ 4330.444690] type=1400 audit(1318325567.691:133): avc: denied { write } for pid=31641 comm="nginx" name="fcgi-php.sock" dev=sda3 ino=393269 scontext=system_u:system_r:nginx_t tcontext=system_u:object_r:var_run_t tclass=sock_file
Oct 11 15:32:47 pub kernel: [ 4330.444781] type=1400 audit(1318325567.691:134): avc: denied { connectto } for pid=31641 comm="nginx" path="/var/run/php/fcgi-php.sock" scontext=system_u:system_r:nginx_t tcontext=system_u:system_r:initrc_t tclass=unix_stream_socket
Oct 11 15:32:47 pub kernel: [ 4330.445371] type=1400 audit(1318325567.691:135): avc: denied { read } for pid=32299 comm="php-fpm" name="index.php" dev=sda6 ino=1048579 scontext=system_u:system_r:initrc_t tcontext=system_u:object_r:httpd_sys_content_t tclass=file
Oct 11 15:32:47 pub kernel: [ 4330.445382] type=1400 audit(1318325567.691:136): avc: denied { open } for pid=32299 comm="php-fpm" name="index.php" dev=sda6 ino=1048579 scontext=system_u:system_r:initrc_t tcontext=system_u:object_r:httpd_sys_content_t tclass=file
Oct 11 15:32:47 pub kernel: [ 4330.445423] type=1400 audit(1318325567.691:137): avc: denied { ioctl } for pid=32299 comm="php-fpm" path="/var/www/http/index.php" dev=sda6 ino=1048579 scontext=system_u:system_r:initrc_t tcontext=system_u:object_r:httpd_sys_content_t tclass=file
Все тоже самое только логично.
Извините, если вам ни о чем
Извините, если вам ни о чем не говорит
и вы не понимаете, что это такое и что с ним делать
По вам просто не нужно использоеать гентоо и селинукс до тех пор, пока не начнете понимать.
П.С ссылак на гваид была выше
P.P.S
судя по последней строчке
sesearch -t nginx_t -A|grep unix allow unconfined_domain_type domain : unix_stream_socket { ioctl read write create getattr setattr lock relabelfrom relabelto append bind connect listen accept getopt setopt shutdown recvfrom sendto recv_msg send_msg name_bind connectto newconn acceptfrom } ; allow unconfined_domain_type domain : unix_dgram_socket { ioctl read write create getattr setattr lock relabelfrom relabelto append bind connect listen accept getopt setopt shutdown recvfrom sendto recv_msg send_msg name_bind } ; allow unconfined_domain_type domain : sem { create destroy getattr setattr read write associate unix_read unix_write } ; allow unconfined_domain_type domain : msgq { create destroy getattr setattr read write associate unix_read unix_write enqueue } ; allow unconfined_domain_type domain : shm { create destroy getattr setattr read write associate unix_read unix_write lock } ; allow sysadm_t domain : unix_stream_socket getattr ; allow sysadm_t domain : unix_dgram_socket getattr ; allow nginx_t nginx_t : unix_stream_socket { ioctl read write create getattr setattr append bind connect listen accept getopt setopt shutdown } ;ваш вопрос как бы это помягче, вобщем отдает непрочтеним начальной документации
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)