LINUX.ORG.RU
решено ФорумAdmin

SELinux (?) + openVPN клиент * 2 == Error

 , ,


0

1

Проблема на CentOS 6.4 x86_64: SELinux не даёт через service запустить одновременно 2 клиента openVPN (к разным серверам). Руками через openvpn --config settings.conf запускается, но из service не работает. В /var/log/messages следующая запись:

Options error: --ca fails with '/root/keys/ca.crt': Permission denied
Options error: --cert fails with '/root/keys/10.crt': Permission denied
Options error: --key fails with '/root/keys/10.key': Permission denied

Как только я делаю setenforce Permissive, то подключение проходит успешно, но в /var/log/audit/audit.log появляется следующее - http://pastebin.com/xgfzY469 - и происходит успешное подключение к серверу.

Конфиг подключения: http://pastebin.com/U4VW3XVt

Не смотрите, что ключ и сертификаты у меня в /root/, это я уже тестил разные местоположения их, перемещения и установка разных прав уровня ext4 не помогли. Всунуть их в конфиг через <ca> __cert__ </ca> и прочее тоже не вышло. Не хочется таки отключать SELinux навеки, как решить проблему?


перемещения и установка разных прав уровня ext4 не помогли

А в /etc/openvpn их совать точно пробовал? Если оттуда не жрет, то я сильно удивлюсь.

Вообще, где openvpn брал и какой версии?

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Конечно, по началу только оттуда и запускал. Я вот тоже несколько удивлён, но не жрёт. Ни из /etc/openvpn, ни из его поддиректорий, хотя при этом ещё один конфиг прекрасно работает. Подключал EPEL и RPMForge, откуда-то оттуда.

nivs
() автор топика
Ответ на: комментарий от nivs

А еще раз сунь конфиг и сертификаты в /etc/openvpn и покажи
ls -Z /etc/openvpn/
stat -Z /etc/openvpn

Ну и уточни всё же, откуда брал пакет.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

openvpn-2.3.2-2.el6.x86_64

К слову, из NetworkManeger'a тоже не подключается.

nivs
() автор топика
Ответ на: комментарий от thesis
root@125-stan ~openvpn $ ls -Z /etc/openvpn/                                                                   23:46 pts/0
drwxr-xr-x. root root unconfined_u:object_r:openvpn_etc_t:s0 keys_metronom/
drwxr-xr-x. root root unconfined_u:object_r:openvpn_etc_t:s0 keys_neksia/
-rw-r--r--. root root unconfined_u:object_r:openvpn_etc_t:s0 metronom.conf
-rw-r--r--. root root unconfined_u:object_r:openvpn_etc_t:s0 neksia2.conf~
-rw-r--r--. root root unconfined_u:object_r:openvpn_etc_t:s0 neksia.conf
root@125-stan ~openvpn $ stat -Z /etc/openvpn                                                                  23:46 pts/0
stat: bad option: -Z

Или лучше на pastebin?

Сейчас в конфиг суну ещё раз. Сую так: http://habrahabr.ru/post/197744/

nivs
() автор топика
Ответ на: комментарий от nivs

*.key файлы имеют 0600, остальные 0644. Пробовал менять на openvpn:openvpn - результат такой же.

К сожалению, без единственно работающего VPN-соединения я не могу, ибо через него и работаю с сервером.

А вот я всунул сертификаты и ключ в конфиг и всё заработало даже с указанием стороннего лога. Не понимаю, как где я смог ошибиться в тот раз, ведь сувал же. Спасибо за помощь, но всё же интересно, почему второй раз не даёт считывать файлы?

nivs
() автор топика

создай в /etc/openvpn/ каталог keys, положи ключи в него, сделай restorecon для этого каталога и его содержимого, а права ты и так правильно назначаешь, раз с setenforce 0 работает

anonymous
()
Ответ на: комментарий от anonymous
restorecon /etc/openvpn/keys/*

И всё отлично. Это при том, что я правила до этого никакие не редактил. Спасибо за помощь, буду знать теперь.

nivs
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.