Skip to content


Десять практических рекомендаций по управлению проектами

Инфографику предоставила Wrike - Управление Проектами В Организации

Десять практических рекомендаций по управлению проектами

Размещено в категории Разное. Теги: , , .

Как создать идеальную среду для удаленной работы

Инфографику предоставила Wrike - Управление Задачами Онлайн

Как создать идеальную среду для удаленной работы

Размещено в категории Разное. Теги: , , .

Настройка SELinux на веб-сервере

Однажды я решил, что дальше так жить нельзя. В смысле, что нужно перестать отключать SELinux. Далее описано что делать, чтобы и SELinux не отключать и чтобы сервер в бесполезную тыкву не превращался.

Понять куда копать обычно помогает командочка

  1. grep denied /var/log/audit/audit.log

1. Если апач не стартует, рассказывая про permission denied для одного из конфиг-файлов, то в audit.log есть что-то типа:

type=AVC msg=audit(1501594149.023:2543): avc: denied { getattr } for pid=14324 comm="httpd" path="/home/apache/vhosts/conf/httpd.conf" dev="dm-2" ino=100663502 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file

Лечится это так:

  1. semanage fcontext -a -t httpd_config_t "/home/apache/vhosts/conf(/.*)?"
  2. restorecon -Rv /home/apache/vhosts/conf

2. Если в audit.log видим

type=AVC msg=audit(1501594181.889:2546): avc: denied { write } for pid=14349 comm="httpd" name="logs" dev="dm-2" ino=90 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=dir

То делаем:

  1. semanage fcontext -a -t httpd_log_t "/home/apache/vhosts/logs(/.*)?"
  2. restorecon -Rv /home/apache/vhosts/logs

3. Если при попытке доступа к любому файлу сайта апач выдает 403, то в audit.log обычно видим

type=AVC msg=audit(1501594423.783:2553): avc: denied { getattr } for pid=14390 comm="httpd" path="/home/apache/vhosts/host1_html/index.html" dev="dm-2" ino=67148571 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file

Лечится вот так:

  1. semanage fcontext -a -t httpd_sys_content_t "/home/apache/vhosts/host1_html(/.*)?"
  2. restorecon -vR /home/apache/vhosts/host1_html

4. Если веб-приложению нужен доступ на запись к определённым файлам сайта, то вместо httpd_sys_content_t следует использовать httpd_sys_rw_content_t. Например, для WordPress почти всегда нужно сделать что-то типа:

  1. semanage fcontext -t httpd_sys_rw_content_t -a "/home/apache/vhosts/host1_html/wp-content/uploads(/.*)?"
  2. semanage fcontext -t httpd_sys_rw_content_t -a "/home/apache/vhosts/host1_html/wp-content/upgrade(/.*)?"
  3. restorecon -vR /home/apache/vhosts/host1_html

5. Если php не может отправить почту, в maillog-е "postfix/sendmail[14409]: fatal: open /etc/postfix/main.cf: Permission denied" и в audit.log видим

type=AVC msg=audit(1502447179.083:18392): avc: denied { read } for pid=14409 comm="sendmail" name="main.cf" dev="dm-0" ino=17209129 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:postfix_etc_t:s0 tclass=file

то делаем:

  1. setsebool -P httpd_can_sendmail=1

Параметр -P означает, что это нужно сохранить перманентно. Не добавляйте, если не требуется делать такие изменения навсегда.

6. Если php не может подключиться к mysql-базе и в audit.log такое

type=AVC msg=audit(1501600773.859:125): avc: denied { name_connect } for pid=3082 comm="php-fpm" dest=3306 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:mysqld_port_t:s0 tclass=tcp_socket

то делаем

  1. setsebool -P httpd_can_network_connect_db 1

7. Если вы решили перевесить SSH-сервер на какой-то нестандартный порт, например, 2229, то нужно не забыть сказать об этом селинуксу:

  1. semanage port -a -t ssh_port_t -p tcp 2229

После чего проверка должна показать нечто такое:

  1. semanage port --list | grep -i ssh
  2. ssh_port_t                     tcp      2229, 22

8. Если вы решили переместить базы данных mysql в какое-то нестандартное место (например, из /var/lib/mysql в /home/mysql), то нужно сделать

  1. semanage fcontext -a -t mysqld_db_t "/home/mysql(/.*)?"
  2. restorecon -Rv /home/mysql

Размещено в категории *nix. Теги: , .

Как сохранить рассудок, работая на трудоголика: 10 советов по восстановлению баланса между личным и рабочим временем

Инфографику предоставила Wrike - Проект Менеджмент

Как сохранить рассудок, работая на трудоголика: 10 советов по восстановлению баланса между личным и рабочим временем

Размещено в категории Разное. Теги: , , .

Страница 1 из 51123456789101112...Последняя »