कार्यशाला आरएचईएल 8 बीटा: कार्यशील वेब अनुप्रयोगों का निर्माण

आरएचईएल 8 बीटा डेवलपर्स को कई नई सुविधाएं प्रदान करता है, जिनकी सूची में पेज लग सकते हैं, हालांकि, व्यवहार में नई चीजें सीखना हमेशा बेहतर होता है, इसलिए नीचे हम वास्तव में रेड हैट एंटरप्राइज लिनक्स 8 बीटा पर आधारित एक एप्लिकेशन इंफ्रास्ट्रक्चर बनाने पर एक कार्यशाला की पेशकश करते हैं।

आइए डेवलपर्स के बीच एक लोकप्रिय प्रोग्रामिंग भाषा, पायथन को आधार के रूप में लें, Django और PostgreSQL का संयोजन, जो एप्लिकेशन बनाने के लिए एक काफी सामान्य संयोजन है, और उनके साथ काम करने के लिए RHEL 8 बीटा को कॉन्फ़िगर करें। फिर हम कुछ और (अवर्गीकृत) सामग्री जोड़ेंगे।

परीक्षण का वातावरण बदल जाएगा, क्योंकि स्वचालन की संभावनाओं का पता लगाना, कंटेनरों के साथ काम करना और कई सर्वरों के साथ वातावरण का प्रयास करना दिलचस्प है। एक नए प्रोजेक्ट के साथ शुरुआत करने के लिए, आप हाथ से एक छोटा, सरल प्रोटोटाइप बनाकर शुरू कर सकते हैं ताकि आप देख सकें कि वास्तव में क्या होने की आवश्यकता है और यह कैसे इंटरैक्ट करता है, और फिर स्वचालित करने और अधिक जटिल कॉन्फ़िगरेशन बनाने के लिए आगे बढ़ें। आज हम ऐसे ही एक प्रोटोटाइप के निर्माण के बारे में बात कर रहे हैं।

आइए आरएचईएल 8 बीटा वीएम छवि को तैनात करके शुरुआत करें। आप स्क्रैच से वर्चुअल मशीन इंस्टॉल कर सकते हैं, या अपने बीटा सब्सक्रिप्शन के साथ उपलब्ध केवीएम अतिथि छवि का उपयोग कर सकते हैं। अतिथि छवि का उपयोग करते समय, आपको एक वर्चुअल सीडी कॉन्फ़िगर करने की आवश्यकता होगी जिसमें क्लाउड इनिशियलाइज़ेशन (क्लाउड-इनिट) के लिए मेटाडेटा और उपयोगकर्ता डेटा होगा। आपको डिस्क संरचना या उपलब्ध पैकेजों के साथ कुछ विशेष करने की आवश्यकता नहीं है; कोई भी कॉन्फ़िगरेशन काम करेगा।

आइए पूरी प्रक्रिया पर करीब से नज़र डालें।

Django स्थापित कर रहा हूँ

Django के नवीनतम संस्करण के साथ, आपको Python 3.5 या उसके बाद के संस्करण के साथ एक आभासी वातावरण (virtualenv) की आवश्यकता होगी। बीटा नोट्स में आप देख सकते हैं कि Python 3.6 उपलब्ध है, आइए देखें कि क्या यह वास्तव में मामला है:

[cloud-user@8beta1 ~]$ python
-bash: python: command not found
[cloud-user@8beta1 ~]$ python3
-bash: python3: command not found

Red Hat सक्रिय रूप से RHEL में सिस्टम टूलकिट के रूप में Python का उपयोग करता है, तो इसका परिणाम क्यों होता है?

तथ्य यह है कि कई पायथन डेवलपर्स अभी भी पायथन 2 से पायथन 2 में संक्रमण पर विचार कर रहे हैं, जबकि पायथन 3 स्वयं सक्रिय विकास के अधीन है, और अधिक से अधिक नए संस्करण लगातार सामने आ रहे हैं। इसलिए, उपयोगकर्ताओं को पायथन के विभिन्न नए संस्करणों तक पहुंच प्रदान करते हुए स्थिर सिस्टम टूल की आवश्यकता को पूरा करने के लिए, सिस्टम पायथन को एक नए पैकेज में ले जाया गया और पायथन 2.7 और 3.6 दोनों को स्थापित करने की क्षमता प्रदान की गई। परिवर्तनों और उन्हें क्यों किया गया, इसके बारे में अधिक जानकारी प्रकाशन में पाई जा सकती है लैंगडन व्हाइट का ब्लॉग (लैंगडन व्हाइट)।

तो, पायथन पर काम करने के लिए, आपको केवल दो पैकेज स्थापित करने की आवश्यकता है, जिसमें निर्भरता के रूप में पायथन 3-पिप शामिल है।

sudo yum install python36 python3-virtualenv

लैंगडन के सुझाव के अनुसार प्रत्यक्ष मॉड्यूल कॉल का उपयोग क्यों न करें और pip3 इंस्टॉल करें? आगामी स्वचालन को ध्यान में रखते हुए, यह ज्ञात है कि Ansible को चलाने के लिए पाइप स्थापित करने की आवश्यकता होगी, क्योंकि पाइप मॉड्यूल कस्टम पाइप निष्पादन योग्य के साथ वर्चुअलएन्व्स का समर्थन नहीं करता है।

आपके पास एक कार्यशील Python3 दुभाषिया के साथ, आप Django इंस्टॉलेशन प्रक्रिया को जारी रख सकते हैं और हमारे अन्य घटकों के साथ एक कार्य प्रणाली प्राप्त कर सकते हैं। इंटरनेट पर कई कार्यान्वयन विकल्प उपलब्ध हैं। यहां एक संस्करण प्रस्तुत किया गया है, लेकिन उपयोगकर्ता अपनी स्वयं की प्रक्रियाओं का उपयोग कर सकते हैं।

हम Yum का उपयोग करके डिफ़ॉल्ट रूप से RHEL 8 में उपलब्ध PostgreSQL और Nginx संस्करण स्थापित करेंगे।

sudo yum install nginx postgresql-server

PostgreSQL को psycopg2 की आवश्यकता होगी, लेकिन इसे केवल वर्चुअलएन्व वातावरण में उपलब्ध होना आवश्यक है, इसलिए हम इसे Django और Gunicorn के साथ pip3 का उपयोग करके इंस्टॉल करेंगे। लेकिन सबसे पहले हमें वर्चुअलएन्व स्थापित करने की आवश्यकता है।

Django परियोजनाओं को स्थापित करने के लिए सही जगह चुनने के विषय पर हमेशा बहुत बहस होती है, लेकिन जब संदेह हो, तो आप हमेशा लिनक्स फाइलसिस्टम पदानुक्रम मानक की ओर रुख कर सकते हैं। विशेष रूप से, एफएचएस का कहना है कि /srv का उपयोग किया जाता है: "होस्ट-विशिष्ट डेटा को स्टोर करें - डेटा जो सिस्टम उत्पन्न करता है, जैसे वेब सर्वर डेटा और स्क्रिप्ट, एफ़टीपी सर्वर पर संग्रहीत डेटा, और सिस्टम रिपॉजिटरी को नियंत्रित करता है।" संस्करण (एफएचएस में दिखाई दे रहे हैं) -2.3 में 2004)।"

यह बिल्कुल हमारा मामला है, इसलिए हम अपनी ज़रूरत की हर चीज़ /srv में डालते हैं, जिसका स्वामित्व हमारे एप्लिकेशन उपयोगकर्ता (क्लाउड-उपयोगकर्ता) के पास है।

sudo mkdir /srv/djangoapp
sudo chown cloud-user:cloud-user /srv/djangoapp
cd /srv/djangoapp
virtualenv django
source django/bin/activate
pip3 install django gunicorn psycopg2
./django-admin startproject djangoapp /srv/djangoapp

PostgreSQL और Django को सेट करना आसान है: एक डेटाबेस बनाएं, एक उपयोगकर्ता बनाएं, अनुमतियां कॉन्फ़िगर करें। शुरुआत में PostgreSQL इंस्टॉल करते समय ध्यान रखने वाली एक बात पोस्टग्रेस्क्ल-सेटअप स्क्रिप्ट है जो पोस्टग्रेस्क्ल-सर्वर पैकेज के साथ इंस्टॉल की जाती है। यह स्क्रिप्ट आपको डेटाबेस क्लस्टर प्रशासन से जुड़े बुनियादी कार्यों को करने में मदद करती है, जैसे क्लस्टर आरंभीकरण या अपग्रेड प्रक्रिया। RHEL सिस्टम पर एक नया PostgreSQL इंस्टेंस कॉन्फ़िगर करने के लिए, हमें कमांड चलाने की आवश्यकता है:

sudo /usr/bin/postgresql-setup -initdb

फिर आप systemd का उपयोग करके PostgreSQL प्रारंभ कर सकते हैं, एक डेटाबेस बना सकते हैं, और Django में एक प्रोजेक्ट सेट कर सकते हैं। एप्लिकेशन उपयोगकर्ता के लिए पासवर्ड स्टोरेज को कॉन्फ़िगर करने के लिए क्लाइंट प्रमाणीकरण कॉन्फ़िगरेशन फ़ाइल (आमतौर पर pg_hba.conf) में परिवर्तन करने के बाद PostgreSQL को पुनरारंभ करना याद रखें। यदि आपको अन्य कठिनाइयाँ आती हैं, तो pg_hba.conf फ़ाइल में IPv4 और IPv6 सेटिंग्स को बदलना सुनिश्चित करें।

systemctl enable -now postgresql

sudo -u postgres psql
postgres=# create database djangoapp;
postgres=# create user djangouser with password 'qwer4321';
postgres=# alter role djangouser set client_encoding to 'utf8';
postgres=# alter role djangouser set default_transaction_isolation to 'read committed';
postgres=# alter role djangouser set timezone to 'utc';
postgres=# grant all on DATABASE djangoapp to djangouser;
postgres=# q

फ़ाइल में /var/lib/pgsql/data/pg_hba.conf:

# IPv4 local connections:
host    all        all 0.0.0.0/0                md5
# IPv6 local connections:
host    all        all ::1/128                 md5

फ़ाइल /srv/djangoapp/settings.py में:

# Database
DATABASES = {
   'default': {
       'ENGINE': 'django.db.backends.postgresql_psycopg2',
       'NAME': '{{ db_name }}',
       'USER': '{{ db_user }}',
       'PASSWORD': '{{ db_password }}',
       'HOST': '{{ db_host }}',
   }
}

प्रोजेक्ट में सेटिंग्सहोम फ़ाइल को कॉन्फ़िगर करने और डेटाबेस कॉन्फ़िगरेशन सेट करने के बाद, आप यह सुनिश्चित करने के लिए विकास सर्वर शुरू कर सकते हैं कि सब कुछ काम करता है। विकास सर्वर शुरू करने के बाद, डेटाबेस से कनेक्शन का परीक्षण करने के लिए एक व्यवस्थापक उपयोगकर्ता बनाना एक अच्छा विचार है।

./manage.py runserver 0.0.0.0:8000
./manage.py createsuperuser

डब्लूएसजीआई? वाई?

विकास सर्वर परीक्षण के लिए उपयोगी है, लेकिन एप्लिकेशन को चलाने के लिए आपको वेब सर्वर गेटवे इंटरफ़ेस (डब्लूएसजीआई) के लिए उपयुक्त सर्वर और प्रॉक्सी को कॉन्फ़िगर करना होगा। कई सामान्य संयोजन हैं, उदाहरण के लिए, uWSGI के साथ Apache HTTPD या Gunicorn के साथ Nginx।

वेब सर्वर गेटवे इंटरफ़ेस का काम वेब सर्वर से पायथन वेब फ्रेमवर्क तक अनुरोधों को अग्रेषित करना है। डब्लूएसजीआई उस भयानक अतीत का अवशेष है जब सीजीआई इंजन आसपास थे, और आज डब्लूएसजीआई वास्तविक मानक है, भले ही वेब सर्वर या पायथन फ्रेमवर्क का उपयोग किया गया हो। लेकिन इसके व्यापक उपयोग के बावजूद, इन ढाँचों के साथ काम करते समय अभी भी कई बारीकियाँ और कई विकल्प हैं। इस मामले में, हम एक सॉकेट के माध्यम से गुनिकॉर्न और नेग्नेक्स के बीच इंटरैक्शन स्थापित करने का प्रयास करेंगे।

चूँकि ये दोनों घटक एक ही सर्वर पर स्थापित हैं, आइए नेटवर्क सॉकेट के बजाय UNIX सॉकेट का उपयोग करने का प्रयास करें। चूंकि संचार के लिए किसी भी स्थिति में सॉकेट की आवश्यकता होती है, आइए एक और कदम उठाने का प्रयास करें और सिस्टमड के माध्यम से गुनिकॉर्न के लिए सॉकेट सक्रियण को कॉन्फ़िगर करें।

सॉकेट सक्रिय सेवाएँ बनाने की प्रक्रिया काफी सरल है। सबसे पहले, एक यूनिट फ़ाइल बनाई जाती है जिसमें एक लिसनस्ट्रीम निर्देश होता है जो उस बिंदु को इंगित करता है जिस पर UNIX सॉकेट बनाया जाएगा, फिर सेवा के लिए एक यूनिट फ़ाइल जिसमें आवश्यक निर्देश सॉकेट यूनिट फ़ाइल को इंगित करेगा। फिर, सर्विस यूनिट फ़ाइल में, वर्चुअल वातावरण से गुनिकॉर्न को कॉल करना और UNIX सॉकेट और Django एप्लिकेशन के लिए WSGI बाइंडिंग बनाना बाकी है।

यहां यूनिट फ़ाइलों के कुछ उदाहरण दिए गए हैं जिनका उपयोग आप आधार के रूप में कर सकते हैं। सबसे पहले हम सॉकेट सेट करते हैं।

[Unit]
Description=Gunicorn WSGI socket

[Socket]
ListenStream=/run/gunicorn.sock

[Install]
WantedBy=sockets.target

अब आपको गुनिकॉर्न डेमॉन को कॉन्फ़िगर करने की आवश्यकता है।

[Unit]
Description=Gunicorn daemon
Requires=gunicorn.socket
After=network.target

[Service]
User=cloud-user
Group=cloud-user
WorkingDirectory=/srv/djangoapp

ExecStart=/srv/djangoapp/django/bin/gunicorn 
         —access-logfile - 
         —workers 3 
         —bind unix:gunicorn.sock djangoapp.wsgi

[Install]
WantedBy=multi-user.target

Nginx के लिए, यदि आप एक का उपयोग कर रहे हैं तो प्रॉक्सी कॉन्फ़िगरेशन फ़ाइलें बनाना और स्थिर सामग्री को संग्रहीत करने के लिए एक निर्देशिका स्थापित करना एक सरल मामला है। RHEL में, Nginx कॉन्फ़िगरेशन फ़ाइलें /etc/nginx/conf.d में स्थित होती हैं। आप निम्नलिखित उदाहरण को फ़ाइल /etc/nginx/conf.d/default.conf में कॉपी कर सकते हैं और सेवा शुरू कर सकते हैं। अपने होस्ट नाम से मेल खाने के लिए सर्वर_नाम सेट करना सुनिश्चित करें।

server {
   listen 80;
   server_name 8beta1.example.com;

   location = /favicon.ico { access_log off; log_not_found off; }
   location /static/ {
       root /srv/djangoapp;
   }

   location / {
       proxy_set_header Host $http_host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_pass http://unix:/run/gunicorn.sock;
   }
}

सिस्टमडी का उपयोग करके गुनिकॉर्न सॉकेट और नेग्नेक्स प्रारंभ करें और आप परीक्षण शुरू करने के लिए तैयार हैं।

ख़राब गेटवे त्रुटि?

यदि आप अपने ब्राउज़र में पता दर्ज करते हैं, तो आपको संभवतः 502 ख़राब गेटवे त्रुटि प्राप्त होगी। यह गलत तरीके से कॉन्फ़िगर की गई UNIX सॉकेट अनुमतियों के कारण हो सकता है, या यह SELinux में एक्सेस नियंत्रण से संबंधित अधिक जटिल समस्याओं के कारण हो सकता है।

nginx त्रुटि लॉग में आप इस तरह की एक पंक्ति देख सकते हैं:

2018/12/18 15:38:03 [crit] 12734#0: *3 connect() to unix:/run/gunicorn.sock failed (13: Permission denied) while connecting to upstream, client: 192.168.122.1, server: 8beta1.example.com, request: "GET / HTTP/1.1", upstream: "http://unix:/run/gunicorn.sock:/", host: "8beta1.example.com"

यदि हम सीधे गुनिकॉर्न का परीक्षण करते हैं, तो हमें एक खाली उत्तर मिलेगा।

curl —unix-socket /run/gunicorn.sock 8beta1.example.com

आइए जानें ऐसा क्यों होता है. यदि आप लॉग खोलते हैं, तो आप संभवतः देखेंगे कि समस्या SELinux से संबंधित है। चूँकि हम एक डेमॉन चला रहे हैं जिसके लिए कोई नीति नहीं बनाई गई है, इसे init_t के रूप में चिह्नित किया गया है। आइए इस सिद्धांत को व्यवहार में परखें।

sudo setenforce 0

यह सब आलोचना और खून के आंसू का कारण बन सकता है, लेकिन यह सिर्फ प्रोटोटाइप को डीबग करना है। आइए यह सुनिश्चित करने के लिए चेक को अक्षम करें कि यही समस्या है, जिसके बाद हम सब कुछ वापस उसके स्थान पर लौटा देंगे।

ब्राउज़र में पेज को रीफ्रेश करके या हमारे कर्ल कमांड को दोबारा चलाकर, आप Django टेस्ट पेज देख सकते हैं।

इसलिए, यह सुनिश्चित करने के बाद कि सब कुछ काम करता है और कोई अनुमति समस्या नहीं है, हम SELinux को फिर से सक्षम करते हैं।

sudo setenforce 1

यहां ऑडिट2अल्लो या सेपोलजेन के साथ अलर्ट-आधारित नीतियां बनाने के बारे में कोई बात नहीं है, क्योंकि इस समय कोई वास्तविक Django एप्लिकेशन नहीं है, इसलिए इस बात का कोई पूरा नक्शा नहीं है कि गुनिकॉर्न किस तक पहुंच चाहता है और उसे किस तक पहुंच से इनकार करना चाहिए। इसलिए, सिस्टम की सुरक्षा के लिए SELinux को चालू रखना आवश्यक है, साथ ही एप्लिकेशन को चलाने और ऑडिट लॉग में संदेश छोड़ने की अनुमति देना आवश्यक है ताकि वास्तविक नीति उनसे बनाई जा सके।

अनुमेय डोमेन निर्दिष्ट करना

हर किसी ने SELinux में अनुमत डोमेन के बारे में नहीं सुना है, लेकिन वे कोई नई बात नहीं हैं। कईयों ने तो बिना सोचे-समझे उनके साथ काम भी कर लिया। जब ऑडिट संदेशों के आधार पर कोई नीति बनाई जाती है, तो बनाई गई नीति हल किए गए डोमेन का प्रतिनिधित्व करती है। आइए एक सरल अनुमति नीति बनाने का प्रयास करें।

गुनिकॉर्न के लिए एक विशिष्ट अनुमत डोमेन बनाने के लिए, आपको किसी प्रकार की नीति की आवश्यकता होती है, और आपको उपयुक्त फ़ाइलों को चिह्नित करने की भी आवश्यकता होती है। इसके अलावा, नई नीतियों को इकट्ठा करने के लिए उपकरणों की आवश्यकता होती है।

sudo yum install selinux-policy-devel

अनुमत डोमेन तंत्र समस्याओं की पहचान करने के लिए एक महान उपकरण है, खासकर जब यह एक कस्टम एप्लिकेशन या पहले से बनाई गई नीतियों के बिना शिप किए जाने वाले एप्लिकेशन की बात आती है। इस मामले में, गुनिकॉर्न के लिए अनुमत डोमेन नीति यथासंभव सरल होगी - एक मुख्य प्रकार (gunicorn_t) घोषित करें, एक प्रकार घोषित करें जिसका उपयोग हम एकाधिक निष्पादन योग्य (gunicorn_exec_t) को चिह्नित करने के लिए करेंगे, और फिर सिस्टम को सही ढंग से चिह्नित करने के लिए एक संक्रमण सेट करें चल रही प्रक्रियाएँ। अंतिम पंक्ति पॉलिसी को लोड होने के समय डिफ़ॉल्ट रूप से सक्षम के रूप में सेट करती है।

gunicorn.te:

policy_module(gunicorn, 1.0)

type gunicorn_t;
type gunicorn_exec_t;
init_daemon_domain(gunicorn_t, gunicorn_exec_t)
permissive gunicorn_t;

आप इस नीति फ़ाइल को संकलित कर सकते हैं और इसे अपने सिस्टम में जोड़ सकते हैं।

make -f /usr/share/selinux/devel/Makefile
sudo semodule -i gunicorn.pp

sudo semanage permissive -a gunicorn_t
sudo semodule -l | grep permissive

आइए देखें कि क्या SELinux हमारे अज्ञात डेमॉन तक पहुँचने के अलावा किसी और चीज़ को रोक रहा है।

sudo ausearch -m AVC

type=AVC msg=audit(1545315977.237:1273): avc:  denied { write } for pid=19400 comm="nginx" name="gunicorn.sock" dev="tmpfs" ino=52977 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file permissive=0

SELinux, Nginx को Gunicorn द्वारा प्रयुक्त UNIX सॉकेट पर डेटा लिखने से रोकता है। आमतौर पर, ऐसे मामलों में नीतियां बदलने लगती हैं, लेकिन आगे अन्य चुनौतियाँ भी होती हैं। आप डोमेन सेटिंग्स को प्रतिबंध डोमेन से अनुमति डोमेन में भी बदल सकते हैं। अब httpd_t को अनुमति डोमेन पर ले जाएँ। इससे Nginx को आवश्यक पहुंच मिलेगी और हम आगे डिबगिंग कार्य जारी रख सकते हैं।

sudo semanage permissive -a httpd_t

इसलिए, एक बार जब आप SELinux को सुरक्षित रखने में कामयाब हो जाते हैं (आपको वास्तव में SELinux प्रोजेक्ट को प्रतिबंधित मोड में नहीं छोड़ना चाहिए) और अनुमति डोमेन लोड हो जाते हैं, तो आपको यह पता लगाने की आवश्यकता है कि सब कुछ ठीक से काम करने के लिए वास्तव में gunicorn_exec_t के रूप में क्या चिह्नित करने की आवश्यकता है दोबारा। आइए पहुंच प्रतिबंधों के बारे में नए संदेश देखने के लिए वेबसाइट पर जाने का प्रयास करें।

sudo ausearch -m AVC -c gunicorn

आपको 'comm='gunicorn' वाले बहुत सारे संदेश दिखाई देंगे जो /srv/djangoapp में फ़ाइलों पर विभिन्न कार्य करते हैं, इसलिए यह स्पष्ट रूप से फ़्लैग करने योग्य आदेशों में से एक है।

लेकिन इसके अलावा, इस तरह का एक संदेश प्रकट होता है:

type=AVC msg=audit(1545320700.070:1542): avc:  denied { execute } for pid=20704 comm="(gunicorn)" name="python3.6" dev="vda3" ino=8515706 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file permissive=0

यदि आप गनिकोर्न सेवा की स्थिति देखते हैं या पीएस कमांड चलाते हैं, तो आपको कोई भी चालू प्रक्रिया नहीं दिखाई देगी। ऐसा लगता है कि गनिकोर्न संभवतः वर्कर स्क्रिप्ट चलाने के लिए हमारे वर्चुअलएन्व वातावरण में पायथन दुभाषिया तक पहुंचने की कोशिश कर रहा है। तो अब आइए इन दो निष्पादन योग्य फ़ाइलों को चिह्नित करें और जांचें कि क्या हम अपना Django परीक्षण पृष्ठ खोल सकते हैं।

chcon -t gunicorn_exec_t /srv/djangoapp/django/bin/gunicorn /srv/djangoapp/django/bin/python3.6

नए टैग का चयन करने से पहले गनिकोर्न सेवा को फिर से शुरू करना होगा। आप इसे तुरंत पुनः प्रारंभ कर सकते हैं या सेवा बंद कर सकते हैं और ब्राउज़र में साइट खोलने पर सॉकेट को इसे प्रारंभ करने दे सकते हैं। सत्यापित करें कि प्रक्रियाओं को ps का उपयोग करके सही लेबल प्राप्त हुए हैं।

ps -efZ | grep gunicorn

बाद में सामान्य SELinux नीति बनाना न भूलें!

यदि आप अब एवीसी संदेशों को देखते हैं, तो अंतिम संदेश में एप्लिकेशन से संबंधित हर चीज के लिए अनुमति = 1 और बाकी सिस्टम के लिए अनुमति = 0 शामिल है। यदि आप समझते हैं कि वास्तविक एप्लिकेशन को किस प्रकार की पहुंच की आवश्यकता है, तो आप ऐसी समस्याओं को हल करने का सबसे अच्छा तरीका तुरंत ढूंढ सकते हैं। लेकिन तब तक, सिस्टम को सुरक्षित रखना और Django प्रोजेक्ट का स्पष्ट, उपयोगी ऑडिट प्राप्त करना सबसे अच्छा है।

sudo ausearch -m AVC

यह निकला!

Nginx और Gunicorn WSGI पर आधारित फ्रंटएंड के साथ एक कार्यशील Django प्रोजेक्ट सामने आया है। हमने RHEL 3 बीटा रिपॉजिटरी से Python 10 और PostgreSQL 8 को कॉन्फ़िगर किया। अब आप आगे बढ़ सकते हैं और कॉन्फ़िगरेशन प्रक्रिया को स्वचालित करने, प्रदर्शन में सुधार करने या यहां तक ​​कि इस कॉन्फ़िगरेशन को कंटेनरीकृत करने के लिए Django एप्लिकेशन बना सकते हैं (या बस तैनात कर सकते हैं) या आरएचईएल 8 बीटा में अन्य उपलब्ध टूल का पता लगा सकते हैं।

स्रोत: www.habr.com