Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Selinux, osnove...

[es] :: Linux :: Selinux, osnove...

[ Pregleda: 842 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Selinux, osnove...09.02.2019. u 19:31 - pre 5 dana i 23h
Kako da imam dva tipa nad jednim objektom?

httpd_sys_rw_content_t
varnishd_etc_t


Da budem jasniji. Magento ima neki plugin Turpentine koji sluzi za generisanje default.vcl fajla, i to radi u /var/www/html/var/ folder
Taj fajl mogu ja ručno da iskopiram u /etc/varnish/, ali nije to to.
Ideja je da pri svakoj promeni on snimi tamo gde jeste, a soft link da vodi u /etc/varnish/default.vcl

Kad restartujem varnish, neće da se startuje ako mi je uključen selinux. Error je
Error: Cannot read -f file (/etc/varnish/default.vcl): Permission denied


Ako promenim /var/www/html/var/default.vcl da je varnishd_etc_t, sa njim moram i sam folder /var/www/html/var, onda uspem da startujem varnish.
Problem je što nad /var/www/html/var moram da imam httpd_sys_rw_content_t kako bi mi radile neke druge Magento funkcionalnosti. Recimo Connect Manager mi baca permission error.

[root@magento varnish]# ls -laZ
drwxr-xr-x. root root system_u:object_r:varnishd_etc_t:s0 .
drwxr-xr-x. root root system_u:object_r:etc_t:s0 ..
lrwxrwxrwx. root root unconfined_u:object_r:varnishd_etc_t:s0 default.vcl -> /var/www/html/var/default.vcl
-rw-r--r--. root root system_u:object_r:varnishd_etc_t:s0 default.vcl.bak
-rw-------. root root unconfined_u:object_r:varnishd_etc_t:s0 secret
-rw-r--r--. root root system_u:object_r:varnishd_etc_t:s0 varnish.params


[root@magento var]# [root@magento var]# ls -laZ
drwx------. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 .
drwx------. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 ..
-rw-rw-rw-. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 brute-force.ini
drwxrwxrwx. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 cache
-rw-rw-rw-. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 default.vcl
-rw-------. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 .htaccess
drwx------. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 package
drwxrwxrwx. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 session


Šta ovde treba da radim da rešim? Ne uspevam da izguglam lako.

Ne bih da isključujem selinux, smatram da je vrlo korisno da on brani servisima da imaju privilegije nad drugim fajlovima i servisima.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2210

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+434 Profil

icon Re: Selinux, osnove...09.02.2019. u 21:06 - pre 5 dana i 21h
Nisam varnish stavljao par godina, ali nesto se secam da je default.vcl config fajl, je'l tako? Zar to ne bi trebalo da stojiu /etc/varnish - ne u /var/www/html?

Kako si instalirao varnish? Iz nekog yum repo-a, ili?
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...09.02.2019. u 21:11 - pre 5 dana i 21h
da jeste config fajl. i da yum repo
Ali zelim umesto njega da stavim symlink ovog sto mi generise Magento plugin, a njega ne mogu da snimim van root-a sajta.
I u dokumentaciji tog plugina pise da se resi ovako symlinkom kako bi sve to sto konfigurisem u samom pluginu imalo efekata.
Problem je samo selinux.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2210

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+434 Profil

icon Re: Selinux, osnove...10.02.2019. u 21:23 - pre 4 dana i 21h
Sad probah, deluje da radi...

[root@www test]# ls -lZ
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 a.txt
lrwxrwxrwx. root root unconfined_u:object_r:admin_home_t:s0 b.txt -> a.txt
[root@www test]# chcon system_u:object_r:httpd_sys_rw_content_t:s0 a.txt
[root@www test]# ls -lZ
-rw-r--r--. root root system_u:object_r:httpd_sys_rw_content_t:s0 a.txt
lrwxrwxrwx. root root unconfined_u:object_r:admin_home_t:s0 b.txt -> a.txt
[root@www test]#


Probaj da stavis ceo /var/www/html/var kao httpd_sys_rw_content_t, a onda rucno da zadas da je /etc/varnish/default.vcl tipa varnishd_etc_t . Pri tom, nek ti fajl bude u /var/www a nek ti /etc/varnish/default.vcl bude symlink...


Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...10.02.2019. u 22:15 - pre 4 dana i 20h
Citat:
Pri tom, nek ti fajl bude u /var/www

problem je sto izgleda ne mogu sa Turpentine da snimim fajl van {{root_dir}}
Pokusao sam ja i direktno u /etc/varnish.

A ako mi se nalazi u nekom podfolderu sajta, i promenim da je varnishd_etc_t, onda imam problema sa Magentom jer njemu treba da bude httpd_sys_rw_content.
Probaću sutra još jednom da vidim da li mogu da snimam fajl negde van root direktorijuma

Vidim da varnish takodje ima Include, pa mozda default.vcl originalni da ne menjam, nego u njega putanju skroz do tamo krajnjeg foldera gde Turpentine snima. Mada... logicno bi bilo da varnish opet pravi problem zbog permisija
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2210

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+434 Profil

icon Re: Selinux, osnove...10.02.2019. u 22:39 - pre 4 dana i 20h
Ma ne bre...

U /var/www/ ti stoji fajl koji pravis Turpentine-om. Context je httpd_sys_rw . Sve ql.

U /etc/varnish ti je symlink. Link ima context varnish_etc. To bi trebalo da radi.
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...10.02.2019. u 22:50 - pre 4 dana i 20h
nije dovoljan varnish_etc samo na symlink, mora i na originalni fajl, nije mi jasno zasto. Ali probacu opet
thx što se cimaš :D
 
Odgovor na temu

Zlatni_bg
Beograd

Član broj: 65708
Poruke: 3253
*.dynamic.sbb.rs.

Sajt: PHP-Srbija.com


+373 Profil

icon Re: Selinux, osnove...11.02.2019. u 06:58 - pre 4 dana i 12h
Kojote, koliko se secam, ti si u firmi radio sa kompletnim Win okruzenjem?

Jesi li siguran da odmah kada si se prebacio na linux zelis da se cimas sa selinuxom? Dobra je to praksa za RH-based distroe, ali se plasim da ti ne napravi vise poteskoca i ne stvori neke probleme koje ces resiti posle napornog dana time sto ces skapirati da te selinux koci. Znam da se imenjak nece sloziti sa mnom i da veruje da je jednostavnije i potrebnije nauciti kako se koristi selinux, ali prvo aws, potom bash/python, onda linux, sada selinux... bojim se da se ne preforsiras. Bukvalno si jedan od retkih na forumu koji idu zestoko uzlaznom linijom na gore.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...11.02.2019. u 07:48 - pre 4 dana i 11h
Jeste... nisam ranije imao dodira sa linux-om uopste. pre 3 godine nisam znao ni šta je SSH.

Citat:
Jesi li siguran da odmah kada si se prebacio na linux zelis da se cimas sa selinuxom?

Nije bas da sam se "odmah prebacio" na linux. Prošlo je već 3 godine... No ajd, nije aktivno 3 godine, jer sam svaštario, pa usput i linux.

Već sam navikao da čim imam problem sa permisijama, odmah puknem setenforce 0 pa probam opet, tako da ne gubim više vreme vreme kao u početku kad bih se satima zezao :). Pa onda tražim rešenje.

Citat:
ali prvo aws, potom bash/python, onda linux, sada selinux... bojim se da se ne preforsiras. Bukvalno si jedan od retkih na forumu koji idu zestoko uzlaznom linijom na gore.

Hvala :)
To je mala lista onoga što sam do sada čačnuo... Da vidiš tek Ansible kako sam razvalio prošle nedelje :D. No problem je baš to što sam "čačnuo", pa nisam baš zadovoljan svojom "uzlaznom putanjom" :).
Treba to mnogo bolje i brže, nego me koči okruženje. Nemam od koga da "kradem". Jedini izvor knjige, google, forumi i kojekakvi online kursevi.

[Ovu poruku je menjao CoyoteKG dana 11.02.2019. u 09:00 GMT+1]
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...11.02.2019. u 08:01 - pre 4 dana i 10h
Citat:
nkrgovic:
Ma ne bre...
U /var/www/ ti stoji fajl koji pravis Turpentine-om. Context je httpd_sys_rw . Sve ql.
U /etc/varnish ti je symlink. Link ima context varnish_etc. To bi trebalo da radi.

Čitam sad još jednom sve što si napisao.
Ja sam upravo tako kako pišeš i stavio pre otvaranja teme. Sad tek vidim da nije najrazumljivije iz mog prvog posta.

Ovo je /etc/varnish i kao sto vidis symlink je varnishd_etc_t
[root@magento varnish]# ls -laZ
drwxr-xr-x. root root system_u:object_r:varnishd_etc_t:s0 .
drwxr-xr-x. root root system_u:object_r:etc_t:s0 ..
lrwxrwxrwx. root root unconfined_u:object_r:varnishd_etc_t:s0 default.vcl -> /var/www/html/var/default.vcl
-rw-r--r--. root root system_u:object_r:varnishd_etc_t:s0 default.vcl.bak
-rw-------. root root unconfined_u:object_r:varnishd_etc_t:s0 secret
-rw-r--r--. root root system_u:object_r:varnishd_etc_t:s0 varnish.params


ovo je /var/www/html/var i kao sto vidis sve unutar njega zajedno sa njim je httpd_sys_rw_content
[root@magento var]# [root@magento var]# ls -laZ
drwx------. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 .
drwx------. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 ..
-rw-rw-rw-. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 brute-force.ini
drwxrwxrwx. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 cache
-rw-rw-rw-. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 default.vcl
-rw-------. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 .htaccess
drwx------. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 package
drwxrwxrwx. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 session


Ali i dalje sam dobijao
Error: Cannot read -f file (/etc/varnish/default.vcl): Permission denied

dok god ne iskljucim selinux ili dok /var/www/html/var/default.vcl zajedno sa /var/www/html/var ne stavim da bude varnishd_etc_t. Dakle baš to što pišeš
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2210

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+434 Profil

icon Re: Selinux, osnove...11.02.2019. u 09:22 - pre 4 dana i 9h
Da, on dereferencira zapravo... ima smisla.

Ima smisla i da ne ide tako. SE Linux sluzi za to da fajl koji je httpd writeable ne moze da bude config file za daemon (posebno ne httpd). Tome zapravo SELinux i sluzi, jasno ti je da je ceo koncept malo nesiguran, tj. da je containement dobra ideja.... ako web server bude "breached" ovime mozes da menjas i config fajl, to je ono, nesigurno kao koncept.

Imam par jako finih ideja, gde bi pakovao to u neki pipeline, tipa napravis na GUI-u, pa dignes jedan VM, testiras, pa onda deploy na ostale masine.... ali tebi treba jedan racunar. Ja bi ti napravio ceo pipeline, sa testiranjem i svima, ali ja se ovih dana nesto lozim na devops, pravim neke metodologije za neki projekat u najavi ;) . Mozda, kao quick fix, da stavis neki cron koji to fizicki kopira?

Raspust je pa sam na odmoru, ceo dan kuci sa decom. :) Ako ne resis do iduce nedelje, kad mi malo proradi mozak, cu da sednem pa da vidim sta i kako - verovatno postoji bolje resenje, samo sam ja na kanalu, sedim pored deteta prica 200 na sat, moguce da ga ne vidim da mi je pred ocima ;D Odvojim par sati, dignem lepo apache+varnish pa nasiljim da radi kako valja. ;)
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...11.02.2019. u 09:42 - pre 4 dana i 9h
I ja se mnogo lozim na devops u poslednje vreme, i ovo što me muči je deo učenja Ansible :).
Htedoh već da okačim playbook na forum, ali neću dok ne budem totalno zadovoljan rezultatom. Tek kad završim onda ću na forum, pa da vidim sa iskusnijima šta bih mogao da popravljam.
Jer ono... tek sam zagrebao i već mi se mnogo sviđa i uspevam da napišem nešto što je funkcionalno.
Učim iz ovoga
https://linuxacademy.com/devop...ion-management-and-deployments
I došao sam tek do "RunOnce" lekcije, i nisam mogao da odolim nego da odmah počnem da pišem. I impresioniran sam.


Pošto znaš da sam nedavno postavljao komplet okruzenje na aws za magento, sa varnish, redis i slično, pa sam sebi to dao kao projekat, ali me muči selinux, i neću da ga isključujem :D.

Inače, jednim playbook-om instaliram i podešavam skroz mysql server odvojeno, importujem bazu, kreiram usere... a drugim komplet varnish, apache, magento svlačim sa gita. I to sve traje 2 minuta :D
Ostalo mi jos nginx i letsencrypt. Nocas sam do pola 3 se mucio i nisam uspeo, upadam u redirection loop kad namestim da magento radi na https. Ali sam na tragu, nego mi se prispavalo... Varnish redirektuje, i plus magento pa zato taj loop.

Pa će sledeći korak da bude Teraform ili CloudFormation, da podizem i masine, servise i slicno automatikom, da sve bude na jedan enter :D... Mada vidim da i Ansible ima module za AWS

Citat:
Mozda, kao quick fix, da stavis neki cron koji to fizicki kopira?

U svakom slucaju moram playbook da pokrenem jos jednom, jer u medjukoraku mora rucno da se instalira magento. Ono, otvori url, isprati installer. Instalira Turpentine, Pa posle toga jos jednom playbook da napravi symlink, sredi kojekakve permisije i jos neke sitnice. Samo sto bih onda umesto symlinka mogao da iskopiram fajl i podesim varnishd_etc.
Nisam jos pogledao to sto si pominjao da ansible moze da ima svog agenta koji ce da drzi stanje konzinstentno, pa mozda mogu to da iskoristim da ne pokrecem rucno playbook

[Ovu poruku je menjao CoyoteKG dana 11.02.2019. u 11:34 GMT+1]
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2210

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+434 Profil

icon Re: Selinux, osnove...11.02.2019. u 14:47 - pre 4 dana i 4h
Ne, rekao sam ti da Ansible NEMA agenta, da smo zato presli na Puppet. :)
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...11.02.2019. u 15:16 - pre 4 dana i 3h
Citat:
nkrgovic:
Gledaj, jeste manje zahtevan, u smislu da kad ne run-ujes nista nema agenta. :) Doduse, ja volim da ima agent, jer mi agent garantuje konzistentnost stanja, u smislu da ako se nesto desi agent to vrati u zadato stanje,...

Ovo sam pogrešno protumačio iz druge teme :)
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2451



+6708 Profil

icon Re: Selinux, osnove...12.02.2019. u 08:26 - pre 3 dana i 10h
Citat:
Zlatni_bg:Jesi li siguran da odmah kada si se prebacio na linux zelis da se cimas sa selinuxom? Dobra je to praksa za RH-based distroe, ali se plasim da ti ne napravi vise poteskoca i ne stvori neke probleme koje ces resiti posle napornog dana time sto ces skapirati da te selinux koci.


Moram da se nadovežem opet, posto sam sada i u praksi video zasto "sve mora da bude up to date" i selinux ukljucen.

Ortakov neki klijent se žali da je pokupio CC Harvester. I ajd pustio neki scan da vidim remote da li ima kakvih rupa.
Posle par minuta skeniranja nadjem ogromne rupetine.
Zbog neazurne aplikacije ne samo sto sam skinuo db conf fajl i procitao koji je user/pass za bazu, nego sam otvarao sistemske fajlove poput /etc/passwd, procitao usere. Sad kad bih znao da napisem skriptu, verovatno bih mogao da procitam sve sto je na serveru sto others ima read permisije
Koliko kapiram selinux sprecava to, da iako su owner permisije takve, apache user koji pokrece tu web app nema sta da trazi van /var/www/html/ foldera.

Na ovaj nacin citam redom po fajlovima
https://.........../ajax_plugi...p;pluginclass=CustomSQLUtility
kako vi programeri valjda zovete, "obicna get metoda" :D



 
Odgovor na temu

[es] :: Linux :: Selinux, osnove...

[ Pregleda: 842 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.