Re: Невозможно изменить document root

[Gena Makhomed]

On 02.02.2015 15:10, Eugene Peregudov wrote:

> В любой непонятной ситуации - смотрите логи, там все есть. Ни одно
> запрещающее действие SELinux не пройдет мимо audit.log

Это не совсем так, dontaudit AVC denials не логгируются. Подробнее:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Fixing_Problems-Possible_Causes_of_Silent_Denials.html

> Лучше пусть селинукс "бъёт по рукам" во время разработки, в таком случае
> вырабатывается набор разрешающих правил еще на машине разработчика. На
> этом этапе уже становится ясно в деталях какие дополнительные разрешения
> (с поправкой на пути) необходимо применить администратору при деплое
> приложения.
>
> Напротив, если разработка ведется без включенного селинукс, после деплоя
> начинается многократный рефрен:
> "ошибка полномочий -> греп логов -> расшифровка сообщений селинукс ->
> написание правил\установка правильных меток"
> Причем, делать это приходится администратору порой без знания матчасти
> самого приложения, что добавляет трудностей.

В некоторых/почти всех ситуациях использование OpenVZ дает такую же
или даже еще лучшую изоляцию приложений без подобных танцев с бубном.

Или Docker - там деплой приложения происходит еще проще для сисадминов,
хотя уровень изоляции/надежности там будет меньше чем в случае с OpenVZ.

-- 
Best regards,
  Gena