setsebool -P httpd_can_network_connect 1

Ох лол, добавлю в лабораторку, если это действительно так.

Это блин вообще неочевидно отдебажить!

А вообще, если пытаться придумать логику - пусть на тебе получили какие-то права, без setsebool они не смогут заделать веб-морду наружу, кмк.

Это блин вообще неочевидно отдебажить!

А что, алерта не было?

Неееет, оно проявляется не так: roundcube при указании БД по IP выдает «не могу соединиться с базой», а при задании БД по FQDN уходит в бесконечный 302. А в owncloud и ttrss отваливается ipv6 (то есть они тоже не работают, пока не пропишешь коннект к БД на 127.0.0.1 вместо localhost, который по умолчанию резолвится в ::1).

Блин, я час искал что дело в SELinux o_0

Я вот это не сразу распарсил:

type=SYSCALL msg=audit(1383678315.740:570): arch=c000003e syscall=42 success=no exit=-13 a0=22 a1=7fffb5d6fcb0 a2=10 a3=22 items=0 ppid=2404 pid=2411 auid=0 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm=«httpd» exe=«/usr/sbin/httpd» subj=unconfined_u:system_r:httpd_t:s0 key=(null)

Неееет, оно проявляется не так

Странне, я сколько встречался с селом, если явно нарушал политику - прилетал алерт, в котором русским по белому было написано, что не так. Вроде.

Ты таки журнал SELinux полистай, мб у тебя просто уведомления вырублены с мясом. Тут налицо нарушение политики.

И да, еще раз - апач запускает пхп, который ломится в сеть к БД и потом все что ты описал, так? По такой логике как раз в логах села должно быть пояснено по хардкору.

Откуда берутся правила? Их пишут мантейнеры дистрибутивов, что не мешает системному администратору исправить их соответственно своим потребностям.

Тюююю... В центосе я с этой дрянью не смог даже подцепить бэкап mysql.

Дык, я выбрал пряный запах нафталина в CentOS именно за тем, что там правила мейнтейнеры не пишут их с потолка. Естественно, я не проверяю все апдейты до каждой строчки измененного кода, хотя и обновляю от менее важного сервера к более важному. К сожалению, вот именно этот коммит был неочевиден для меня.

Всё правильно сделали.

это чтобы в жизни иногда появлялось веселье! двое суток не спать, сервера поднимать - романтика

Самый адекватный SELinux, имхо, в Hardened Gentoo. Но она не всем подходит. Но вот правила можно взять оттуда.

Шома только сейчас на эти грабли наступил?

вот именно поэтому первой командой на свежем сервере выполняется setenforce 0

Ну-ну. А еще удаляются правила iptables, разрешается вход рутом по ssh, висящем на 22 порту.

ССЗБ. Changelog не читаешь, доки не читаешь? Не занимайся selinux, выключи или найми человека, который знает что и как.

а вот давай ты не будешь меня учить админить сервера?

Но вот правила можно взять оттуда.

Все правила из одной помойки - из reference policy, с минимальными допилами

Блин, я час искал что дело в SELinux o_0

А можно было пять минут в гугле. Или мне просто повезло в свое время.

Зато после завершения конфигурирования можно включить селинух взад и с интересом посмотреть, что и как отвалилось.

вот именно поэтому первой командой на свежем сервере выполняется setenforce 0

Ты про это?

Да, есть такой вид спорта :)

Что про это? Я говорю, что селинукс не нужен.

1) alert был

2) Это не «запрет работать с сетью», так как висеть на порту и слушать входящие подключения selinux никак по умолчанию не мешает.

Это запрет исходящих подключений.

httpd scripts by default are not allowed to connect out to the network.

This would prevent a hacker from breaking into you httpd server and attacking other machines. If you need scripts to be able to connect you can set the httpd_can_network_connect boolean on.

3) тебе скорее всего нужен

setsebool -P httpd_can_network_connect_db 1 

а вот давай ты не будешь меня учить админить сервера?

вот именно поэтому первой командой на свежем сервере выполняется setenforce 0

Вероятно, ещё есть чему поучиться. Например, как использовать SELinux.

Я умею использовать селинукс, но головняка от него больше, чем пользы.

httpd_can_network_connect_db

вот только за это нужно страшно карать. db - это что? мускуль/постгрес/мсскуль/оракель на нестандартном порту?

карать надо за неумение читать документацию и логи

это как-то отменяет тяжелую наркоманию авторов поделия?

Админить сложную систему вообще сложно (особенно для любителей «нестандартных» решений). Думать приходится, доки читать, гуглить, прямо беда.

Ты забыла рассказать про свой опыт использования контейнерной виртуализации :) Уж позволь мне судить о вещах с высоты своего опыта.

Моего опыта вполне достаточно для того чтобы знать цену подобным заявлениям.

Я конечно понимаю что это твой главный аргумент на все случаи жизни, но оправдывать опытом незнание или неосиляторство смешно.

Повторяю для тугих: я прекрасно знаю, что такое селинукс и как его готовить, и именно поэтому говорю, что смысла в нем в реальной жизни чуть больше чем никакого.