28.01.2015 10:26, Eugene Peregudov пишет:
ИМХО, очень зря решается выключением. В первую очередь разработчик
приложения и мэйнтейнер должны знать и предоставить информацию о том,
какие разрешения необходимы приложению для корректного выполнения, а в
идеале еще и написать policy-файл.
Каждый раз когда кто-то выключает SELinux где-то плачет Dan Walsh
(http://stopdisablingselinux.com/)
До тех пор, пока оно будет включено по умолчанию - все инструкции будут
начинаться с "выключите selinux", потому что обычно настройка делается
так - селинух выкл или в permissive, нормальная настройка всего что
запускаем и разворачиваем, а потом уже смотрим по результату, какие
права нужны.
Плюс, пока нет чётких ошибок "selinux: на файле XXX нет прав на YYY",
первым шагом диагностики всегда будет его отключение. Это как при
сетевой мистике обычно первый шаг - отключить фаервол. Это неправильно,
но сразу становится понятно, кто виноват.
До кучи - рабочим и тестовым машинам selinux больше мешает чем помогает,
и там выключить совсем - нормальное действие.
Из самого банального: ssh, авторизация по ключам, .ssh создан, права
0700, authorized_keys создан, права 0600, все владельцы правильные. Ключ
не принимало, пока не выключили selinux (!). В логах ничего про то, что
выполнена блокировка селинухом. Итог: я тоже приучился первым делом
выключать это зло, пока оно не научится само и внятно говорить, что не так.
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru