Re: Невозможно изменить document root

[denis]

28.01.2015 10:26, Eugene Peregudov пишет:
>
> ИМХО, очень зря решается выключением. В первую очередь разработчик 
> приложения и мэйнтейнер должны знать и предоставить информацию о том, 
> какие разрешения необходимы приложению для корректного выполнения, а в 
> идеале еще и написать policy-файл.
>
> Каждый раз когда кто-то выключает SELinux где-то плачет Dan Walsh 
> (http://stopdisablingselinux.com/)
>
До тех пор, пока оно будет включено по умолчанию - все инструкции будут 
начинаться с "выключите selinux", потому что обычно настройка делается 
так - селинух выкл или в permissive, нормальная настройка всего что 
запускаем и разворачиваем, а потом уже смотрим по результату, какие 
права нужны.
Плюс, пока нет чётких ошибок "selinux: на файле XXX нет прав на YYY", 
первым шагом диагностики всегда будет его отключение. Это как при 
сетевой мистике обычно первый шаг - отключить фаервол. Это неправильно, 
но сразу становится понятно, кто виноват.
До кучи - рабочим и тестовым машинам selinux больше мешает чем помогает, 
и там выключить совсем - нормальное действие.

Из самого банального: ssh, авторизация по ключам, .ssh создан, права 
0700, authorized_keys создан, права 0600, все владельцы правильные. Ключ 
не принимало, пока не выключили selinux (!). В логах ничего про то, что 
выполнена блокировка селинухом. Итог: я тоже приучился первым делом 
выключать это зло, пока оно не научится само и внятно говорить, что не так.