On 02.02.2015 15:10, Eugene Peregudov wrote:
В любой непонятной ситуации - смотрите логи, там все есть. Ни одно запрещающее действие SELinux не пройдет мимо audit.log
Это не совсем так, dontaudit AVC denials не логгируются. Подробнее: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Fixing_Problems-Possible_Causes_of_Silent_Denials.html
Лучше пусть селинукс "бъёт по рукам" во время разработки, в таком случае вырабатывается набор разрешающих правил еще на машине разработчика. На этом этапе уже становится ясно в деталях какие дополнительные разрешения (с поправкой на пути) необходимо применить администратору при деплое приложения. Напротив, если разработка ведется без включенного селинукс, после деплоя начинается многократный рефрен: "ошибка полномочий -> греп логов -> расшифровка сообщений селинукс -> написание правил\установка правильных меток" Причем, делать это приходится администратору порой без знания матчасти самого приложения, что добавляет трудностей.
В некоторых/почти всех ситуациях использование OpenVZ дает такую же или даже еще лучшую изоляцию приложений без подобных танцев с бубном. Или Docker - там деплой приложения происходит еще проще для сисадминов, хотя уровень изоляции/надежности там будет меньше чем в случае с OpenVZ. -- Best regards, Gena _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
