Re: Невозможно изменить document root
Илья Шипицин
chipitsine at gmail.com
Tue Feb 3 02:51:55 UTC 2015
selinux хорошо для "compliance".
типа у вас какое-то госучреждение или типа того, есть политика
безопасности, регулярный аудит, и есть "соответствие требованиям" в
виде включенной галочки selinux
а во всех нормальных случаях - selinux просто мешает жить
2 февраля 2015 г., 16:33 пользователь denis <denis at webmaster.spb.ru> написал:
> 28.01.2015 10:26, Eugene Peregudov пишет:
>>
>>
>> ИМХО, очень зря решается выключением. В первую очередь разработчик
>> приложения и мэйнтейнер должны знать и предоставить информацию о том, какие
>> разрешения необходимы приложению для корректного выполнения, а в идеале еще
>> и написать policy-файл.
>>
>> Каждый раз когда кто-то выключает SELinux где-то плачет Dan Walsh
>> (http://stopdisablingselinux.com/)
>>
> До тех пор, пока оно будет включено по умолчанию - все инструкции будут
> начинаться с "выключите selinux", потому что обычно настройка делается так -
> селинух выкл или в permissive, нормальная настройка всего что запускаем и
> разворачиваем, а потом уже смотрим по результату, какие права нужны.
> Плюс, пока нет чётких ошибок "selinux: на файле XXX нет прав на YYY", первым
> шагом диагностики всегда будет его отключение. Это как при сетевой мистике
> обычно первый шаг - отключить фаервол. Это неправильно, но сразу становится
> понятно, кто виноват.
> До кучи - рабочим и тестовым машинам selinux больше мешает чем помогает, и
> там выключить совсем - нормальное действие.
>
> Из самого банального: ssh, авторизация по ключам, .ssh создан, права 0700,
> authorized_keys создан, права 0600, все владельцы правильные. Ключ не
> принимало, пока не выключили selinux (!). В логах ничего про то, что
> выполнена блокировка селинухом. Итог: я тоже приучился первым делом
> выключать это зло, пока оно не научится само и внятно говорить, что не так.
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
Подробная информация о списке рассылки nginx-ru