RHEL 8 বিটা ওয়ার্কশপ: বিল্ডিং ওয়ার্কিং ওয়েব অ্যাপ্লিকেশন

RHEL 8 বিটা ডেভেলপারদের অনেক নতুন বৈশিষ্ট্য অফার করে, যেগুলির তালিকায় পৃষ্ঠাগুলি লাগতে পারে, যাইহোক, নতুন জিনিস শেখা সর্বদা অনুশীলনে আরও ভাল, তাই নীচে আমরা Red Hat Enterprise Linux 8 বিটা-এর উপর ভিত্তি করে একটি অ্যাপ্লিকেশন পরিকাঠামো তৈরি করার জন্য একটি কর্মশালার প্রস্তাব দিই।

ডেভেলপারদের মধ্যে একটি জনপ্রিয় প্রোগ্রামিং ল্যাঙ্গুয়েজ পাইথনকে ভিত্তি হিসেবে ধরা যাক, Django এবং PostgreSQL এর সংমিশ্রণ, অ্যাপ্লিকেশন তৈরির জন্য একটি মোটামুটি সাধারণ সমন্বয়, এবং তাদের সাথে কাজ করার জন্য RHEL 8 বিটা কনফিগার করুন। তারপরে আমরা আরও কয়েকটি (অশ্রেণীভুক্ত) উপাদান যুক্ত করব।

পরীক্ষার পরিবেশ পরিবর্তন হবে, কারণ এটি অটোমেশনের সম্ভাবনাগুলি অন্বেষণ করা, কন্টেইনারগুলির সাথে কাজ করা এবং একাধিক সার্ভারের সাথে পরিবেশের চেষ্টা করা আকর্ষণীয়৷ একটি নতুন প্রকল্পের সাথে শুরু করার জন্য, আপনি হাত দিয়ে একটি ছোট, সাধারণ প্রোটোটাইপ তৈরি করে শুরু করতে পারেন যাতে আপনি দেখতে পারেন ঠিক কী ঘটতে হবে এবং এটি কীভাবে ইন্টারঅ্যাক্ট করে এবং তারপরে স্বয়ংক্রিয়ভাবে এগিয়ে যান এবং আরও জটিল কনফিগারেশন তৈরি করুন৷ আজ আমরা এমন একটি প্রোটোটাইপ তৈরির কথা বলছি।

চলুন শুরু করা যাক RHEL 8 বিটা VM ইমেজ স্থাপন করে। আপনি স্ক্র্যাচ থেকে একটি ভার্চুয়াল মেশিন ইনস্টল করতে পারেন, অথবা আপনার বিটা সাবস্ক্রিপশনের সাথে উপলব্ধ KVM গেস্ট ইমেজ ব্যবহার করতে পারেন। একটি গেস্ট ইমেজ ব্যবহার করার সময়, আপনাকে একটি ভার্চুয়াল সিডি কনফিগার করতে হবে যাতে ক্লাউড ইনিশিয়ালাইজেশন (ক্লাউড-ইনিট) এর জন্য মেটাডেটা এবং ব্যবহারকারীর ডেটা থাকবে। ডিস্ক স্ট্রাকচার বা উপলব্ধ প্যাকেজগুলির সাথে আপনাকে বিশেষ কিছু করার দরকার নেই; যেকোনো কনফিগারেশন করবে।

এর পুরো প্রক্রিয়াটি ঘনিষ্ঠভাবে দেখে নেওয়া যাক।

জ্যাঙ্গো ইনস্টল করা হচ্ছে

জ্যাঙ্গোর নতুন সংস্করণের সাথে, আপনার পাইথন 3.5 বা তার পরবর্তী সংস্করণ সহ একটি ভার্চুয়াল পরিবেশ (ভার্চুয়ালেনভ) প্রয়োজন। বিটা নোটগুলিতে আপনি দেখতে পাচ্ছেন যে পাইথন 3.6 উপলব্ধ আছে, আসুন পরীক্ষা করে দেখি যে এটি সত্যিই হয় কিনা:

[cloud-user@8beta1 ~]$ python
-bash: python: command not found
[cloud-user@8beta1 ~]$ python3
-bash: python3: command not found

Red Hat সক্রিয়ভাবে RHEL-এ একটি সিস্টেম টুলকিট হিসাবে পাইথন ব্যবহার করে, তাহলে কেন এই ফলাফল?

আসল বিষয়টি হল যে অনেক পাইথন ডেভেলপার এখনও পাইথন 2 থেকে পাইথন 2-এ রূপান্তরের কথা ভাবছেন, যখন পাইথন 3 নিজেই সক্রিয় বিকাশের অধীনে রয়েছে এবং আরও বেশি নতুন সংস্করণ ক্রমাগত উপস্থিত হচ্ছে। সুতরাং, Python-এর বিভিন্ন নতুন সংস্করণে ব্যবহারকারীদের অ্যাক্সেস দেওয়ার সময় স্থিতিশীল সিস্টেম সরঞ্জামগুলির প্রয়োজন মেটাতে, সিস্টেম Python একটি নতুন প্যাকেজে স্থানান্তরিত হয়েছে এবং Python 2.7 এবং 3.6 উভয়ই ইনস্টল করার ক্ষমতা প্রদান করেছে। পরিবর্তনগুলি এবং কেন সেগুলি করা হয়েছিল সে সম্পর্কে আরও তথ্যের প্রকাশনায় পাওয়া যাবে৷ ল্যাংডন হোয়াইট এর ব্লগ (ল্যাংডন হোয়াইট)।

সুতরাং, পাইথনে কাজ করার জন্য, আপনাকে শুধুমাত্র দুটি প্যাকেজ ইনস্টল করতে হবে, যেখানে python3-pip নির্ভরতা হিসাবে অন্তর্ভুক্ত করা হয়েছে।

sudo yum install python36 python3-virtualenv

ল্যাংডনের পরামর্শ অনুযায়ী সরাসরি মডিউল কল ব্যবহার করবেন না এবং পিপ3 ইনস্টল করবেন না? আসন্ন অটোমেশনের কথা মাথায় রেখে, এটি জানা যায় যে Ansible-কে চালানোর জন্য পিপ ইনস্টল করা প্রয়োজন, যেহেতু পিপ মডিউলটি কাস্টম পিপ এক্সিকিউটেবল সহ ভার্চুয়ালেনভকে সমর্থন করে না।

আপনার নিষ্পত্তিতে একটি কার্যকরী python3 দোভাষী সহ, আপনি Django ইনস্টলেশন প্রক্রিয়া চালিয়ে যেতে পারেন এবং আমাদের অন্যান্য উপাদানগুলির সাথে একটি কার্যকরী সিস্টেম থাকতে পারেন। ইন্টারনেটে উপলব্ধ অনেক বাস্তবায়ন বিকল্প আছে. এখানে একটি সংস্করণ উপস্থাপন করা হয়েছে, তবে ব্যবহারকারীরা তাদের নিজস্ব প্রক্রিয়া ব্যবহার করতে পারেন।

আমরা Yum ব্যবহার করে ডিফল্টরূপে RHEL 8 এ উপলব্ধ PostgreSQL এবং Nginx সংস্করণগুলি ইনস্টল করব।

sudo yum install nginx postgresql-server

PostgreSQL-এর জন্য psycopg2 প্রয়োজন হবে, কিন্তু এটি শুধুমাত্র একটি ভার্চুয়ালেনভ পরিবেশে উপলব্ধ হতে হবে, তাই আমরা Django এবং Gunicorn-এর সাথে pip3 ব্যবহার করে এটি ইনস্টল করব। কিন্তু প্রথমে আমাদের virtualenv সেট আপ করতে হবে।

জ্যাঙ্গো প্রকল্পগুলি ইনস্টল করার জন্য সঠিক জায়গা বেছে নেওয়ার বিষয়ে সর্বদা অনেক বিতর্ক রয়েছে, তবে সন্দেহ হলে আপনি সর্বদা লিনাক্স ফাইল সিস্টেম হায়ারার্কি স্ট্যান্ডার্ডে যেতে পারেন। বিশেষভাবে, এফএইচএস বলে যে /এসআরভি ব্যবহার করা হয়: "হোস্ট-নির্দিষ্ট ডেটা সঞ্চয় করে- সিস্টেম যে ডেটা তৈরি করে, যেমন ওয়েব সার্ভার ডেটা এবং স্ক্রিপ্ট, FTP সার্ভারে সংরক্ষিত ডেটা, এবং সিস্টেম রিপোজিটরিগুলি নিয়ন্ত্রণ করে।" সংস্করণগুলি (এফএইচএস-এ উপস্থিত -2.3 2004)।"

এটি ঠিক আমাদের ক্ষেত্রে, তাই আমরা আমাদের প্রয়োজনীয় সবকিছু /srv-এ রাখি, যা আমাদের অ্যাপ্লিকেশন ব্যবহারকারীর (ক্লাউড-ব্যবহারকারী) মালিকানাধীন।

sudo mkdir /srv/djangoapp
sudo chown cloud-user:cloud-user /srv/djangoapp
cd /srv/djangoapp
virtualenv django
source django/bin/activate
pip3 install django gunicorn psycopg2
./django-admin startproject djangoapp /srv/djangoapp

PostgreSQL এবং Django সেট আপ করা সহজ: একটি ডাটাবেস তৈরি করুন, একটি ব্যবহারকারী তৈরি করুন, অনুমতিগুলি কনফিগার করুন৷ প্রাথমিকভাবে PostgreSQL ইনস্টল করার সময় একটি জিনিস মনে রাখতে হবে তা হল postgresql-setup স্ক্রিপ্ট যা postgresql-server প্যাকেজের সাথে ইনস্টল করা হয়। এই স্ক্রিপ্টটি আপনাকে ডাটাবেস ক্লাস্টার প্রশাসনের সাথে যুক্ত মৌলিক কাজগুলি সম্পাদন করতে সাহায্য করে, যেমন ক্লাস্টার ইনিশিয়ালাইজেশন বা আপগ্রেড প্রক্রিয়া। একটি RHEL সিস্টেমে একটি নতুন PostgreSQL উদাহরণ কনফিগার করতে, আমাদের কমান্ডটি চালাতে হবে:

sudo /usr/bin/postgresql-setup -initdb

তারপর আপনি systemd ব্যবহার করে PostgreSQL শুরু করতে পারেন, একটি ডাটাবেস তৈরি করতে পারেন এবং জ্যাঙ্গোতে একটি প্রকল্প সেট আপ করতে পারেন। অ্যাপ্লিকেশন ব্যবহারকারীর জন্য পাসওয়ার্ড স্টোরেজ কনফিগার করতে ক্লায়েন্ট প্রমাণীকরণ কনফিগারেশন ফাইলে (সাধারণত pg_hba.conf) পরিবর্তন করার পরে PostgreSQL পুনরায় চালু করতে ভুলবেন না। আপনি যদি অন্যান্য সমস্যার সম্মুখীন হন, তাহলে pg_hba.conf ফাইলে IPv4 এবং IPv6 সেটিংস পরিবর্তন করতে ভুলবেন না।

systemctl enable -now postgresql

sudo -u postgres psql
postgres=# create database djangoapp;
postgres=# create user djangouser with password 'qwer4321';
postgres=# alter role djangouser set client_encoding to 'utf8';
postgres=# alter role djangouser set default_transaction_isolation to 'read committed';
postgres=# alter role djangouser set timezone to 'utc';
postgres=# grant all on DATABASE djangoapp to djangouser;
postgres=# q

ফাইলে /var/lib/pgsql/data/pg_hba.conf:

# IPv4 local connections:
host    all        all 0.0.0.0/0                md5
# IPv6 local connections:
host    all        all ::1/128                 md5

ফাইলে /srv/djangoapp/settings.py:

# Database
DATABASES = {
   'default': {
       'ENGINE': 'django.db.backends.postgresql_psycopg2',
       'NAME': '{{ db_name }}',
       'USER': '{{ db_user }}',
       'PASSWORD': '{{ db_password }}',
       'HOST': '{{ db_host }}',
   }
}

প্রজেক্টে settings.py ফাইলটি কনফিগার করার পরে এবং ডাটাবেস কনফিগারেশন সেট আপ করার পরে, সবকিছু কাজ করছে তা নিশ্চিত করতে আপনি ডেভেলপমেন্ট সার্ভার শুরু করতে পারেন। ডেভেলপমেন্ট সার্ভার শুরু করার পরে, ডাটাবেসের সাথে সংযোগ পরীক্ষা করার জন্য একজন প্রশাসক ব্যবহারকারী তৈরি করা একটি ভাল ধারণা।

./manage.py runserver 0.0.0.0:8000
./manage.py createsuperuser

WSGI? ওয়াই?

ডেভেলপমেন্ট সার্ভার পরীক্ষার জন্য উপযোগী, কিন্তু অ্যাপ্লিকেশন চালানোর জন্য আপনাকে অবশ্যই ওয়েব সার্ভার গেটওয়ে ইন্টারফেস (WSGI) এর জন্য উপযুক্ত সার্ভার এবং প্রক্সি কনফিগার করতে হবে। বেশ কয়েকটি সাধারণ সংমিশ্রণ রয়েছে, উদাহরণস্বরূপ, uWSGI এর সাথে Apache HTTPD বা Gunicorn এর সাথে Nginx।

ওয়েব সার্ভার গেটওয়ে ইন্টারফেসের কাজ হল ওয়েব সার্ভার থেকে পাইথন ওয়েব ফ্রেমওয়ার্কে অনুরোধ পাঠানো। WSGI হল ভয়ানক অতীতের একটি স্মৃতিচিহ্ন যখন CGI ইঞ্জিনগুলি প্রায় ছিল, এবং আজ WSGI হল ডি ফ্যাক্টো স্ট্যান্ডার্ড, ওয়েব সার্ভার বা পাইথন ফ্রেমওয়ার্ক ব্যবহার করা যাই হোক না কেন। কিন্তু এর ব্যাপক ব্যবহার সত্ত্বেও, এই ফ্রেমওয়ার্কগুলির সাথে কাজ করার সময় এখনও অনেক সূক্ষ্মতা রয়েছে এবং অনেক পছন্দ রয়েছে। এই ক্ষেত্রে, আমরা একটি সকেটের মাধ্যমে Gunicorn এবং Nginx এর মধ্যে মিথস্ক্রিয়া স্থাপন করার চেষ্টা করব।

যেহেতু এই দুটি উপাদান একই সার্ভারে ইনস্টল করা আছে, আসুন নেটওয়ার্ক সকেটের পরিবর্তে একটি UNIX সকেট ব্যবহার করার চেষ্টা করি। যেহেতু যোগাযোগের জন্য যেকোনো ক্ষেত্রেই একটি সকেটের প্রয়োজন, তাই আসুন আরও একটি পদক্ষেপ নেওয়ার চেষ্টা করি এবং সিস্টেমডের মাধ্যমে গুনিকর্নের জন্য সকেট অ্যাক্টিভেশন কনফিগার করি।

সকেট সক্রিয় পরিষেবাগুলি তৈরি করার প্রক্রিয়াটি বেশ সহজ। প্রথমত, একটি ইউনিট ফাইল তৈরি করা হয় যাতে একটি ListenStream নির্দেশিকা থাকে যে পয়েন্টে UNIX সকেট তৈরি করা হবে, তারপর পরিষেবার জন্য একটি ইউনিট ফাইল যেখানে প্রয়োজন নির্দেশিকা সকেট ইউনিট ফাইলের দিকে নির্দেশ করবে। তারপর, পরিষেবা ইউনিট ফাইলে, যা অবশিষ্ট থাকে তা হল ভার্চুয়াল পরিবেশ থেকে গুনিকর্নকে কল করা এবং UNIX সকেট এবং জ্যাঙ্গো অ্যাপ্লিকেশনের জন্য একটি WSGI বাইন্ডিং তৈরি করা।

এখানে ইউনিট ফাইলের কিছু উদাহরণ রয়েছে যা আপনি একটি ভিত্তি হিসাবে ব্যবহার করতে পারেন। প্রথমে আমরা সকেট সেট আপ করি।

[Unit]
Description=Gunicorn WSGI socket

[Socket]
ListenStream=/run/gunicorn.sock

[Install]
WantedBy=sockets.target

এখন আপনাকে গুনিকর্ন ডেমন কনফিগার করতে হবে।

[Unit]
Description=Gunicorn daemon
Requires=gunicorn.socket
After=network.target

[Service]
User=cloud-user
Group=cloud-user
WorkingDirectory=/srv/djangoapp

ExecStart=/srv/djangoapp/django/bin/gunicorn 
         —access-logfile - 
         —workers 3 
         —bind unix:gunicorn.sock djangoapp.wsgi

[Install]
WantedBy=multi-user.target

Nginx-এর জন্য, প্রক্সি কনফিগারেশন ফাইল তৈরি করা এবং স্ট্যাটিক সামগ্রী সংরক্ষণ করার জন্য একটি ডিরেক্টরি সেট আপ করা একটি সহজ বিষয় যদি আপনি একটি ব্যবহার করেন। RHEL-এ, Nginx কনফিগারেশন ফাইলগুলি /etc/nginx/conf.d-এ অবস্থিত। আপনি নিম্নলিখিত উদাহরণটি /etc/nginx/conf.d/default.conf ফাইলে অনুলিপি করতে পারেন এবং পরিষেবাটি শুরু করতে পারেন। আপনার হোস্ট নামের সাথে মেলে সার্ভার_নাম সেট করা নিশ্চিত করুন।

server {
   listen 80;
   server_name 8beta1.example.com;

   location = /favicon.ico { access_log off; log_not_found off; }
   location /static/ {
       root /srv/djangoapp;
   }

   location / {
       proxy_set_header Host $http_host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_pass http://unix:/run/gunicorn.sock;
   }
}

Systemd ব্যবহার করে Gunicorn সকেট এবং Nginx শুরু করুন এবং আপনি পরীক্ষা শুরু করতে প্রস্তুত।

খারাপ গেটওয়ে ত্রুটি?

আপনি যদি আপনার ব্রাউজারে ঠিকানাটি প্রবেশ করেন, আপনি সম্ভবত একটি 502 খারাপ গেটওয়ে ত্রুটি পাবেন৷ এটি ভুলভাবে কনফিগার করা UNIX সকেট অনুমতির কারণে হতে পারে, অথবা এটি SELinux-এ অ্যাক্সেস নিয়ন্ত্রণ সম্পর্কিত আরও জটিল সমস্যার কারণে হতে পারে।

nginx ত্রুটি লগ আপনি এই মত একটি লাইন দেখতে পারেন:

2018/12/18 15:38:03 [crit] 12734#0: *3 connect() to unix:/run/gunicorn.sock failed (13: Permission denied) while connecting to upstream, client: 192.168.122.1, server: 8beta1.example.com, request: "GET / HTTP/1.1", upstream: "http://unix:/run/gunicorn.sock:/", host: "8beta1.example.com"

আমরা যদি সরাসরি গুনিকর্ন পরীক্ষা করি, তাহলে আমরা একটি খালি উত্তর পাব।

curl —unix-socket /run/gunicorn.sock 8beta1.example.com

চলুন বের করা যাক কেন এমন হয়। আপনি লগটি খুললে, আপনি সম্ভবত দেখতে পাবেন যে সমস্যাটি SELinux এর সাথে সম্পর্কিত। যেহেতু আমরা একটি ডেমন চালাচ্ছি যার জন্য কোন নীতি তৈরি করা হয়নি, এটি init_t হিসাবে চিহ্নিত করা হয়েছে। আসুন এই তত্ত্বটি অনুশীলনে পরীক্ষা করি।

sudo setenforce 0

এই সব সমালোচনা এবং রক্তের অশ্রু কারণ হতে পারে, কিন্তু এটি শুধুমাত্র প্রোটোটাইপ ডিবাগ করা হয়. এই সমস্যাটি কিনা তা নিশ্চিত করার জন্য আসুন চেকটি নিষ্ক্রিয় করি, যার পরে আমরা সবকিছু তার জায়গায় ফিরিয়ে দেব।

ব্রাউজারে পৃষ্ঠাটি রিফ্রেশ করে বা আমাদের কার্ল কমান্ড পুনরায় চালু করে, আপনি জ্যাঙ্গো পরীক্ষার পৃষ্ঠাটি দেখতে পারেন।

সুতরাং, সবকিছু কাজ করে এবং অনুমতির আর কোন সমস্যা নেই তা নিশ্চিত করার পর, আমরা আবার SELinux সক্রিয় করি।

sudo setenforce 1

আমি এখানে সেপোলজেনের সাথে audit2allow বা সতর্কতা-ভিত্তিক নীতি তৈরি করার বিষয়ে কথা বলব না, যেহেতু এই মুহূর্তে কোনও প্রকৃত জ্যাঙ্গো অ্যাপ্লিকেশন নেই, তাই Gunicorn কী অ্যাক্সেস করতে চায় এবং কী অ্যাক্সেস অস্বীকার করা উচিত তার কোনও সম্পূর্ণ মানচিত্র নেই। অতএব, সিস্টেমকে রক্ষা করার জন্য SELinux-কে চলমান রাখা প্রয়োজন, একই সময়ে অ্যাপ্লিকেশনটিকে চালানোর অনুমতি দেওয়া এবং অডিট লগে বার্তাগুলি ছেড়ে দেওয়া যাতে প্রকৃত নীতিটি তখন থেকে তৈরি করা যায়।

অনুমতিমূলক ডোমেন নির্দিষ্ট করা

সবাই SELinux-এ অনুমোদিত ডোমেনের কথা শুনেনি, তবে সেগুলি নতুন কিছু নয়। এমনকি অনেকে না বুঝেও তাদের সাথে কাজ করেছেন। যখন একটি নীতি অডিট বার্তার উপর ভিত্তি করে তৈরি করা হয়, তৈরি করা নীতিটি সমাধান করা ডোমেনের প্রতিনিধিত্ব করে। আসুন একটি সহজ অনুমতি নীতি তৈরি করার চেষ্টা করি।

Gunicorn-এর জন্য একটি নির্দিষ্ট অনুমোদিত ডোমেন তৈরি করতে, আপনার কিছু ধরনের নীতির প্রয়োজন, এবং আপনাকে উপযুক্ত ফাইলগুলিও চিহ্নিত করতে হবে। উপরন্তু, নতুন নীতি একত্রিত করার জন্য সরঞ্জাম প্রয়োজন।

sudo yum install selinux-policy-devel

অনুমোদিত ডোমেন মেকানিজম সমস্যা শনাক্ত করার জন্য একটি দুর্দান্ত হাতিয়ার, বিশেষ করে যখন এটি একটি কাস্টম অ্যাপ্লিকেশন বা অ্যাপ্লিকেশনগুলির ক্ষেত্রে আসে যা ইতিমধ্যে তৈরি করা নীতিগুলি ছাড়াই পাঠানো হয়৷ এই ক্ষেত্রে, Gunicorn-এর জন্য অনুমোদিত ডোমেন নীতি যতটা সম্ভব সহজ হবে - একটি প্রধান প্রকার ঘোষণা করুন (gunicorn_t), একটি প্রকার ঘোষণা করুন যা আমরা একাধিক এক্সিকিউটেবল (gunicorn_exec_t) চিহ্নিত করতে ব্যবহার করব, এবং তারপর সঠিকভাবে চিহ্নিত করার জন্য সিস্টেমের জন্য একটি পরিবর্তন সেট আপ করুন। চলমান প্রক্রিয়া। শেষ লাইনটি নীতিটিকে লোড করার সময় ডিফল্টরূপে সক্রিয় হিসাবে সেট করে।

gunicorn.te:

policy_module(gunicorn, 1.0)

type gunicorn_t;
type gunicorn_exec_t;
init_daemon_domain(gunicorn_t, gunicorn_exec_t)
permissive gunicorn_t;

আপনি এই নীতি ফাইল কম্পাইল এবং আপনার সিস্টেমে যোগ করতে পারেন.

make -f /usr/share/selinux/devel/Makefile
sudo semodule -i gunicorn.pp

sudo semanage permissive -a gunicorn_t
sudo semodule -l | grep permissive

SELinux আমাদের অজানা ডেমন যা অ্যাক্সেস করছে তা ছাড়া অন্য কিছু ব্লক করছে কিনা তা পরীক্ষা করে দেখা যাক।

sudo ausearch -m AVC

type=AVC msg=audit(1545315977.237:1273): avc:  denied { write } for pid=19400 comm="nginx" name="gunicorn.sock" dev="tmpfs" ino=52977 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file permissive=0

SELinux Nginx কে Gunicorn দ্বারা ব্যবহৃত UNIX সকেটে ডেটা লিখতে বাধা দেয়। সাধারণত, এই ধরনের ক্ষেত্রে, নীতিগুলি পরিবর্তন হতে শুরু করে, তবে সামনে অন্যান্য চ্যালেঞ্জ রয়েছে। আপনি একটি সীমাবদ্ধ ডোমেন থেকে একটি অনুমতি ডোমেনে ডোমেন সেটিংস পরিবর্তন করতে পারেন। এখন httpd_t কে পারমিশন ডোমেনে নিয়ে যাওয়া যাক। এটি Nginx কে প্রয়োজনীয় অ্যাক্সেস দেবে এবং আমরা আরও ডিবাগিং কাজ চালিয়ে যেতে পারি।

sudo semanage permissive -a httpd_t

সুতরাং, একবার আপনি SELinux-কে সুরক্ষিত রাখতে পরিচালিত হয়ে গেলে (আপনার সত্যিই একটি SELinux প্রোজেক্টকে সীমাবদ্ধ মোডে ছেড়ে দেওয়া উচিত নয়) এবং অনুমতি ডোমেনগুলি লোড হয়ে গেলে, সবকিছু ঠিকঠাকভাবে কাজ করার জন্য আপনাকে ঠিক কী gunicorn_exec_t হিসাবে চিহ্নিত করা দরকার তা খুঁজে বের করতে হবে। আবার অ্যাক্সেস সীমাবদ্ধতা সম্পর্কে নতুন বার্তা দেখতে ওয়েবসাইট দেখার চেষ্টা করুন।

sudo ausearch -m AVC -c gunicorn

আপনি 'comm="gunicorn"' সম্বলিত প্রচুর বার্তা দেখতে পাবেন যেগুলি /srv/djangoapp-এর ফাইলগুলিতে বিভিন্ন জিনিস করে, তাই এটি স্পষ্টতই ফ্ল্যাগ করার মতো একটি কমান্ড।

কিন্তু উপরন্তু, এই মত একটি বার্তা প্রদর্শিত হবে:

type=AVC msg=audit(1545320700.070:1542): avc:  denied { execute } for pid=20704 comm="(gunicorn)" name="python3.6" dev="vda3" ino=8515706 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file permissive=0

আপনি যদি gunicorn পরিষেবার অবস্থা দেখেন বা ps কমান্ড চালান, আপনি কোন চলমান প্রক্রিয়া দেখতে পাবেন না। দেখে মনে হচ্ছে গুনিকর্ন আমাদের ভার্চুয়ালেনভ পরিবেশে পাইথন ইন্টারপ্রেটার অ্যাক্সেস করার চেষ্টা করছে, সম্ভবত কর্মী স্ক্রিপ্ট চালানোর জন্য। সুতরাং এখন এই দুটি এক্সিকিউটেবল ফাইল চিহ্নিত করা যাক এবং আমরা আমাদের জ্যাঙ্গো পরীক্ষা পৃষ্ঠা খুলতে পারি কিনা তা পরীক্ষা করি।

chcon -t gunicorn_exec_t /srv/djangoapp/django/bin/gunicorn /srv/djangoapp/django/bin/python3.6

নতুন ট্যাগ নির্বাচন করার আগে গানিকর্ন পরিষেবাটি পুনরায় চালু করতে হবে। আপনি অবিলম্বে এটি পুনরায় চালু করতে পারেন বা পরিষেবাটি বন্ধ করতে পারেন এবং আপনি যখন ব্রাউজারে সাইটটি খুলবেন তখন সকেটটিকে এটি শুরু করতে দিন৷ যাচাই করুন যে প্রক্রিয়াগুলি ps ব্যবহার করে সঠিক লেবেল পেয়েছে।

ps -efZ | grep gunicorn

পরে একটি সাধারণ SELinux নীতি তৈরি করতে ভুলবেন না!

আপনি যদি এখন AVC বার্তাগুলি দেখেন, শেষ বার্তাটিতে রয়েছে অ্যাপ্লিকেশান সম্পর্কিত সমস্ত কিছুর জন্য permissive=1 এবং বাকি সিস্টেমের জন্য permissive=0। আপনি যদি বুঝতে পারেন যে একটি বাস্তব অ্যাপ্লিকেশনের কী ধরনের অ্যাক্সেস প্রয়োজন, আপনি দ্রুত এই ধরনের সমস্যাগুলি সমাধান করার সেরা উপায় খুঁজে পেতে পারেন। কিন্তু ততক্ষণ পর্যন্ত, সিস্টেমটিকে সুরক্ষিত রাখা এবং জ্যাঙ্গো প্রকল্পের একটি পরিষ্কার, ব্যবহারযোগ্য অডিট করা সর্বোত্তম।

sudo ausearch -m AVC

ঘটেছিলো!

Nginx এবং Gunicorn WSGI এর উপর ভিত্তি করে একটি ফ্রন্টএন্ড সহ একটি কাজ করা জ্যাঙ্গো প্রকল্প উপস্থিত হয়েছে। আমরা RHEL 3 বিটা সংগ্রহস্থল থেকে Python 10 এবং PostgreSQL 8 কনফিগার করেছি। এখন আপনি এগিয়ে যেতে এবং কনফিগারেশন প্রক্রিয়া স্বয়ংক্রিয় করতে, কর্মক্ষমতা উন্নত করতে, বা এমনকি এই কনফিগারেশনটিকে ধারণ করতে RHEL 8 বিটাতে জ্যাঙ্গো অ্যাপ্লিকেশন তৈরি করতে (বা কেবল স্থাপন) করতে পারেন বা অন্যান্য উপলব্ধ সরঞ্জামগুলি অন্বেষণ করতে পারেন।

উত্স: www.habr.com