कार्यशाला RHEL 8 बिटा: काम गर्ने वेब अनुप्रयोगहरू निर्माण गर्दै

RHEL 8 Beta ले विकासकर्ताहरूलाई धेरै नयाँ सुविधाहरू प्रदान गर्दछ, जसको सूचीले पृष्ठहरू लिन सक्छ, तथापि, नयाँ कुराहरू सिक्नु अभ्यासमा सधैं राम्रो हुन्छ, त्यसैले तल हामी Red Hat Enterprise Linux 8 Beta मा आधारित अनुप्रयोग पूर्वाधार सिर्जना गर्ने कार्यशाला प्रस्ताव गर्दछौं।

विकासकर्ताहरू बीचको लोकप्रिय प्रोग्रामिङ भाषा पाइथनलाई आधारको रूपमा, Django र PostgreSQL को संयोजन, अनुप्रयोगहरू सिर्जना गर्नको लागि एकदम सामान्य संयोजन, र तिनीहरूसँग काम गर्न RHEL 8 Beta कन्फिगर गरौं। त्यसपछि हामी केही थप (अवर्गीकृत) अवयवहरू थप्नेछौं।

परीक्षण वातावरण परिवर्तन हुनेछ, किनभने यो स्वचालनको सम्भावनाहरू अन्वेषण गर्न, कन्टेनरहरूसँग काम गर्ने र बहु ​​सर्भरहरूको साथ वातावरणहरू प्रयास गर्न रोचक छ। नयाँ परियोजनाको साथ सुरु गर्न, तपाईंले हातले एउटा सानो, साधारण प्रोटोटाइप सिर्जना गरेर सुरु गर्न सक्नुहुन्छ ताकि तपाईंले के हुन आवश्यक छ र यसले कसरी अन्तरक्रिया गर्छ भन्ने कुरा देख्न सक्नुहुन्छ, र त्यसपछि स्वचालित र थप जटिल कन्फिगरेसनहरू सिर्जना गर्न अगाडि बढ्नुहोस्। आज हामी यस्तो प्रोटोटाइप को निर्माण बारेमा कुरा गर्दै छन्।

RHEL 8 Beta VM छवि प्रयोग गरेर सुरु गरौं। तपाइँ स्क्र्याचबाट भर्चुअल मेसिन स्थापना गर्न सक्नुहुन्छ, वा तपाइँको बिटा सदस्यता संग उपलब्ध KVM अतिथि छवि प्रयोग गर्नुहोस्। अतिथि छवि प्रयोग गर्दा, तपाईंले भर्चुअल सीडी कन्फिगर गर्न आवश्यक छ जसमा मेटाडाटा र क्लाउड प्रारम्भिकता (क्लाउड-इनिट) को लागि प्रयोगकर्ता डेटा समावेश हुनेछ। तपाईंले डिस्क संरचना वा उपलब्ध प्याकेजहरूसँग विशेष केहि गर्न आवश्यक छैन; कुनै पनि कन्फिगरेसनले गर्नेछ।

आउनुहोस् सम्पूर्ण प्रक्रियालाई नजिकबाट हेरौं।

Django स्थापना गर्दै

Django को नयाँ संस्करणको साथ, तपाईंलाई Python 3.5 वा पछिको भर्चुअल वातावरण (virtualenv) चाहिन्छ। बीटा नोटहरूमा तपाईंले पाइजोन 3.6 उपलब्ध छ भनेर देख्न सक्नुहुन्छ, यदि यो वास्तवमा मामला हो भने जाँच गरौं:

[cloud-user@8beta1 ~]$ python
-bash: python: command not found
[cloud-user@8beta1 ~]$ python3
-bash: python3: command not found

Red Hat सक्रिय रूपमा RHEL मा प्रणाली टुलकिटको रूपमा पाइथन प्रयोग गर्दछ, त्यसोभए यो परिणाम किन आउँछ?

तथ्य यो हो कि धेरै पाइथन विकासकर्ताहरूले अझै पनि पाइथन 2 बाट पाइथन 2 मा संक्रमणको बारेमा विचार गरिरहेका छन्, जबकि पाइथन 3 आफै सक्रिय विकास अन्तर्गत छ, र अधिक र अधिक नयाँ संस्करणहरू लगातार देखा परिरहेका छन्। तसर्थ, पाइथनका विभिन्न नयाँ संस्करणहरूमा प्रयोगकर्ताहरूलाई पहुँच प्रदान गर्दा स्थिर प्रणाली उपकरणहरूको आवश्यकता पूरा गर्न, प्रणाली पाइथनलाई नयाँ प्याकेजमा सारियो र पाइथन २.७ र ३.६ दुवै स्थापना गर्ने क्षमता प्रदान गरियो। परिवर्तनहरू र तिनीहरू किन गरियो भन्ने बारे थप जानकारी प्रकाशनमा पाउन सकिन्छ Langdon White को ब्लग (Langdon White)।

त्यसोभए, काम गर्ने पाइथन प्राप्त गर्न, तपाईंले केवल दुई प्याकेजहरू स्थापना गर्न आवश्यक छ, python3-pip निर्भरताको रूपमा समावेश गरी।

sudo yum install python36 python3-virtualenv

किन Langdon सुझाव र pip3 स्थापना रूपमा प्रत्यक्ष मोड्युल कलहरू प्रयोग नगर्ने? आगामी स्वचालनलाई ध्यानमा राख्दै, यो ज्ञात छ कि Ansible लाई चलाउनको लागि pip स्थापना गर्न आवश्यक छ, किनकि pip मोड्युलले अनुकूलन पाइप कार्यान्वयनयोग्यसँग virtualenvs लाई समर्थन गर्दैन।

तपाइँको डिस्पोजलमा कार्यरत पाइथन३ दोभाषे संग, तपाइँ Django स्थापना प्रक्रिया संग जारी राख्न सक्नुहुन्छ र हाम्रो अन्य कम्पोनेन्टहरु संग एक कार्य प्रणाली छ। इन्टरनेटमा धेरै कार्यान्वयन विकल्पहरू उपलब्ध छन्। यहाँ प्रस्तुत गरिएको एउटा संस्करण छ, तर प्रयोगकर्ताहरूले आफ्नै प्रक्रियाहरू प्रयोग गर्न सक्छन्।

हामी Yum प्रयोग गरेर पूर्वनिर्धारित रूपमा RHEL 8 मा उपलब्ध PostgreSQL र Nginx संस्करणहरू स्थापना गर्नेछौं।

sudo yum install nginx postgresql-server

PostgreSQL लाई psycopg2 चाहिन्छ, तर यो भर्चुअलेनभ वातावरणमा मात्र उपलब्ध हुन आवश्यक छ, त्यसैले हामी यसलाई Django र Gunicorn सँग pip3 प्रयोग गरेर स्थापना गर्नेछौं। तर पहिले हामीले virtualenv सेट अप गर्न आवश्यक छ।

Django परियोजनाहरू स्थापना गर्न सही ठाउँ छनौट गर्ने विषयमा सधैं धेरै बहस हुन्छ, तर जब शङ्कामा, तपाईं सधैं लिनक्स फाइलसिस्टम पदानुक्रम मानकमा जान सक्नुहुन्छ। विशेष रूपमा, FHS ले भन्छ कि /srv प्रयोग गरिन्छ: "प्रणालीले उत्पादन गर्ने होस्ट-विशिष्ट डेटा भण्डारण गर्न, जस्तै वेब सर्भर डाटा र स्क्रिप्टहरू, FTP सर्भरहरूमा भण्डारण गरिएको डाटा, र प्रणाली भण्डारहरू नियन्त्रण गर्न।" संस्करणहरू (FHS मा देखा पर्दछ। -२.३ सन् २००४ मा)।"

यो ठ्याक्कै हाम्रो मामला हो, त्यसैले हामीले हामीलाई चाहिने सबै कुरा /srv मा राख्छौं, जुन हाम्रो अनुप्रयोग प्रयोगकर्ता (क्लाउड-प्रयोगकर्ता) को स्वामित्वमा छ।

sudo mkdir /srv/djangoapp
sudo chown cloud-user:cloud-user /srv/djangoapp
cd /srv/djangoapp
virtualenv django
source django/bin/activate
pip3 install django gunicorn psycopg2
./django-admin startproject djangoapp /srv/djangoapp

PostgreSQL र Django सेटअप गर्न सजिलो छ: डाटाबेस सिर्जना गर्नुहोस्, प्रयोगकर्ता सिर्जना गर्नुहोस्, अनुमतिहरू कन्फिगर गर्नुहोस्। सुरुमा PostgreSQL स्थापना गर्दा ध्यानमा राख्नु पर्ने एउटा कुरा postgresql-setup स्क्रिप्ट हो जुन postgresql-server प्याकेजसँग स्थापित हुन्छ। यो स्क्रिप्टले तपाईंलाई डाटाबेस क्लस्टर प्रशासनसँग सम्बन्धित आधारभूत कार्यहरू गर्न मद्दत गर्छ, जस्तै क्लस्टर प्रारम्भ वा अपग्रेड प्रक्रिया। RHEL प्रणालीमा नयाँ PostgreSQL उदाहरण कन्फिगर गर्न, हामीले आदेश चलाउन आवश्यक छ:

sudo /usr/bin/postgresql-setup -initdb

तपाइँ त्यसपछि Systemd प्रयोग गरेर PostgreSQL सुरु गर्न सक्नुहुन्छ, डाटाबेस सिर्जना गर्नुहोस्, र Django मा एक परियोजना सेटअप गर्नुहोस्। एप्लिकेसन प्रयोगकर्ताको लागि पासवर्ड भण्डारण कन्फिगर गर्न क्लाइन्ट प्रमाणीकरण कन्फिगरेसन फाइल (सामान्यतया pg_hba.conf) मा परिवर्तन गरेपछि PostgreSQL पुन: सुरु गर्न सम्झनुहोस्। यदि तपाईंले अन्य कठिनाइहरूको सामना गर्नुभयो भने, pg_hba.conf फाइलमा IPv4 र IPv6 सेटिङहरू परिवर्तन गर्न निश्चित गर्नुहोस्।

systemctl enable -now postgresql

sudo -u postgres psql
postgres=# create database djangoapp;
postgres=# create user djangouser with password 'qwer4321';
postgres=# alter role djangouser set client_encoding to 'utf8';
postgres=# alter role djangouser set default_transaction_isolation to 'read committed';
postgres=# alter role djangouser set timezone to 'utc';
postgres=# grant all on DATABASE djangoapp to djangouser;
postgres=# q

फाइलमा /var/lib/pgsql/data/pg_hba.conf:

# IPv4 local connections:
host    all        all 0.0.0.0/0                md5
# IPv6 local connections:
host    all        all ::1/128                 md5

फाइलमा /srv/djangoapp/settings.py:

# Database
DATABASES = {
   'default': {
       'ENGINE': 'django.db.backends.postgresql_psycopg2',
       'NAME': '{{ db_name }}',
       'USER': '{{ db_user }}',
       'PASSWORD': '{{ db_password }}',
       'HOST': '{{ db_host }}',
   }
}

परियोजनामा ​​settings.py फाइल कन्फिगर गरिसकेपछि र डाटाबेस कन्फिगरेसन सेटअप गरेपछि, तपाईंले विकास सर्भर सुरु गर्न सक्नुहुन्छ कि सबै कुरा काम गर्दछ। विकास सर्भर सुरु गरेपछि, डाटाबेसमा जडान परीक्षण गर्न प्रशासक प्रयोगकर्ता सिर्जना गर्न यो राम्रो विचार हो।

./manage.py runserver 0.0.0.0:8000
./manage.py createsuperuser

WSGI? वाइ?

विकास सर्भर परीक्षणको लागि उपयोगी छ, तर अनुप्रयोग चलाउन तपाईंले वेब सर्भर गेटवे इन्टरफेस (WSGI) को लागि उपयुक्त सर्भर र प्रोक्सी कन्फिगर गर्नुपर्छ। त्यहाँ धेरै सामान्य संयोजनहरू छन्, उदाहरणका लागि, UWSGI सँग Apache HTTPD वा Gunicorn सँग Nginx।

वेब सर्भर गेटवे इन्टरफेसको काम वेब सर्भरबाट पाइथन वेब फ्रेमवर्कमा अनुरोधहरू फर्वार्ड गर्नु हो। WSGI डरलाग्दो विगतको अवशेष हो जब CGI इन्जिनहरू वरपर थिए, र आज WSGI वास्तविक मानक हो, वेब सर्भर वा पाइथन फ्रेमवर्क प्रयोग नगरी। तर यसको व्यापक प्रयोगको बावजुद, यी ढाँचाहरूसँग काम गर्दा, र धेरै छनौटहरू अझै पनि धेरै न्युनन्सहरू छन्। यस अवस्थामा, हामी सकेट मार्फत Gunicorn र Nginx बीच अन्तरक्रिया स्थापित गर्ने प्रयास गर्नेछौं।

यी दुबै कम्पोनेन्टहरू एउटै सर्भरमा स्थापित भएकाले, नेटवर्क सकेटको सट्टा UNIX सकेट प्रयोग गर्ने प्रयास गरौं। सञ्चारलाई कुनै पनि अवस्थामा सकेट चाहिने हुनाले, एउटा थप कदम चाल्ने प्रयास गरौं र Systemd मार्फत Gunicorn को लागि सकेट सक्रियता कन्फिगर गरौं।

सकेट सक्रिय सेवाहरू सिर्जना गर्ने प्रक्रिया एकदम सरल छ। पहिले, एक एकाइ फाइल सिर्जना गरिएको छ जसमा UNIX सकेट सिर्जना गरिने बिन्दुमा औंल्याउँदै ListenStream निर्देशन समावेश गर्दछ, त्यसपछि सेवाको लागि एक एकाइ फाइल जसमा आवश्यक निर्देशनले सकेट एकाइ फाइललाई संकेत गर्नेछ। त्यसपछि, सेवा इकाई फाइलमा, भर्चुअल वातावरणबाट गुनिकर्नलाई कल गर्न र UNIX सकेट र Django अनुप्रयोगको लागि WSGI बाइन्डिङ सिर्जना गर्न बाँकी रहेको छ।

यहाँ एकाइ फाइलहरूको केही उदाहरणहरू छन् जुन तपाईंले आधारको रूपमा प्रयोग गर्न सक्नुहुन्छ। पहिले हामीले सकेट सेट अप गर्यौं।

[Unit]
Description=Gunicorn WSGI socket

[Socket]
ListenStream=/run/gunicorn.sock

[Install]
WantedBy=sockets.target

अब तपाईंले Gunicorn डेमन कन्फिगर गर्न आवश्यक छ।

[Unit]
Description=Gunicorn daemon
Requires=gunicorn.socket
After=network.target

[Service]
User=cloud-user
Group=cloud-user
WorkingDirectory=/srv/djangoapp

ExecStart=/srv/djangoapp/django/bin/gunicorn 
         —access-logfile - 
         —workers 3 
         —bind unix:gunicorn.sock djangoapp.wsgi

[Install]
WantedBy=multi-user.target

Nginx को लागी, यो प्रोक्सी कन्फिगरेसन फाइलहरू सिर्जना गर्ने र स्थिर सामग्री भण्डारण गर्न डाइरेक्टरी सेटअप गर्ने सरल कुरा हो यदि तपाइँ एक प्रयोग गर्दै हुनुहुन्छ। RHEL मा, Nginx कन्फिगरेसन फाइलहरू /etc/nginx/conf.d मा अवस्थित छन्। तपाईंले निम्न उदाहरण फाइलमा प्रतिलिपि गर्न सक्नुहुन्छ /etc/nginx/conf.d/default.conf र सेवा सुरु गर्नुहोस्। तपाइँको होस्ट नाम मिलाउन सर्वर_नाम सेट गर्न निश्चित गर्नुहोस्।

server {
   listen 80;
   server_name 8beta1.example.com;

   location = /favicon.ico { access_log off; log_not_found off; }
   location /static/ {
       root /srv/djangoapp;
   }

   location / {
       proxy_set_header Host $http_host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_pass http://unix:/run/gunicorn.sock;
   }
}

Systemd प्रयोग गरेर Gunicorn सकेट र Nginx सुरु गर्नुहोस् र तपाईं परीक्षण सुरु गर्न तयार हुनुहुन्छ।

खराब गेटवे त्रुटि?

यदि तपाईंले आफ्नो ब्राउजरमा ठेगाना प्रविष्ट गर्नुभयो भने, तपाईंले प्रायः 502 खराब गेटवे त्रुटि प्राप्त गर्नुहुनेछ। यो गलत तरिकाले कन्फिगर गरिएको UNIX सकेट अनुमतिहरूको कारणले हुन सक्छ, वा SELinux मा पहुँच नियन्त्रणसँग सम्बन्धित थप जटिल समस्याहरूको कारण हुन सक्छ।

nginx त्रुटि लग मा तपाइँ यो जस्तै एक रेखा देख्न सक्नुहुन्छ:

2018/12/18 15:38:03 [crit] 12734#0: *3 connect() to unix:/run/gunicorn.sock failed (13: Permission denied) while connecting to upstream, client: 192.168.122.1, server: 8beta1.example.com, request: "GET / HTTP/1.1", upstream: "http://unix:/run/gunicorn.sock:/", host: "8beta1.example.com"

यदि हामीले Gunicorn लाई सिधै परीक्षण गर्यौं भने, हामीले खाली जवाफ पाउनेछौं।

curl —unix-socket /run/gunicorn.sock 8beta1.example.com

यो किन हुन्छ पत्ता लगाउनुहोस्। यदि तपाईंले लग खोल्नुभयो भने, तपाईंले प्रायः समस्या SELinux सँग सम्बन्धित भएको देख्नुहुनेछ। हामी एउटा डेमन चलाउँदैछौं जसको लागि कुनै नीति सिर्जना गरिएको छैन, यसलाई init_t को रूपमा चिन्ह लगाइएको छ। यो सिद्धान्तलाई व्यवहारमा परिक्षण गरौं।

sudo setenforce 0

यी सबैले आलोचना र रगतको आँसु निम्त्याउन सक्छ, तर यो केवल प्रोटोटाइप डिबग गर्दैछ। यो समस्या हो भनेर सुनिश्चित गर्नको लागि चेकलाई असक्षम गरौं, त्यसपछि हामी सबै चीजहरू यसको स्थानमा फिर्ता गर्नेछौं।

ब्राउजरमा पृष्ठ रिफ्रेस गरेर वा हाम्रो कर्ल आदेश पुन: चलाएर, तपाईंले Django परीक्षण पृष्ठ हेर्न सक्नुहुन्छ।

त्यसोभए, सबै कुराले काम गर्छ र त्यहाँ कुनै थप अनुमति समस्याहरू छैनन् भनी सुनिश्चित गरेपछि, हामीले SELinux लाई फेरि सक्षम पार्छौं।

sudo setenforce 1

म यहाँ सेपोल्जेनसँग audit2allow वा अलर्ट-आधारित नीतिहरू सिर्जना गर्ने बारे कुरा गर्दिन, किनकि त्यहाँ अहिले कुनै वास्तविक Django अनुप्रयोग छैन, त्यसैले त्यहाँ Gunicorn ले के पहुँच गर्न चाहन्छ र के पहुँचलाई अस्वीकार गर्नुपर्छ भन्ने पूर्ण नक्सा छैन। तसर्थ, प्रणालीको सुरक्षा गर्न SELinux चलाउन आवश्यक छ, जबकि एकै समयमा अनुप्रयोगलाई चलाउन र अडिट लगमा सन्देशहरू छोड्न अनुमति दिँदै वास्तविक नीति तिनीहरूबाट सिर्जना गर्न सकिन्छ।

अनुमति दिने डोमेनहरू निर्दिष्ट गर्दै

सबैले SELinux मा अनुमति दिइएको डोमेनहरूको बारेमा सुनेका छैनन्, तर तिनीहरू नयाँ छैनन्। धेरैले थाहा नपाएर पनि उनीहरूसँग काम गरे। जब नीति लेखापरीक्षण सन्देशहरूमा आधारित बनाइन्छ, सिर्जना गरिएको नीतिले समाधान गरिएको डोमेनलाई प्रतिनिधित्व गर्दछ। एक साधारण अनुमति नीति सिर्जना गर्ने प्रयास गरौं।

Gunicorn को लागि एक विशेष अनुमति दिइएको डोमेन सिर्जना गर्न, तपाइँलाई केहि प्रकारको नीति चाहिन्छ, र तपाइँले उपयुक्त फाइलहरू पनि चिन्ह लगाउन आवश्यक छ। थप रूपमा, नयाँ नीतिहरू जम्मा गर्न उपकरणहरू आवश्यक छ।

sudo yum install selinux-policy-devel

अनुमति दिइएको डोमेन मेकानिज्म समस्याहरू पहिचान गर्नको लागि एक उत्कृष्ट उपकरण हो, विशेष गरी जब यो एक अनुकूल अनुप्रयोग वा अनुप्रयोगहरू आउँछ जुन पहिले नै सिर्जना गरिएका नीतिहरू बिना पठाइन्छ। यस अवस्थामा, Gunicorn को लागि अनुमति दिइएको डोमेन नीति सकेसम्म सरल हुनेछ - एक मुख्य प्रकार (gunicorn_t) घोषणा गर्नुहोस्, एक प्रकारको घोषणा गर्नुहोस् जुन हामीले बहु कार्यान्वयनयोग्य (gunicorn_exec_t) चिन्ह लगाउन प्रयोग गर्नेछौं, र त्यसपछि प्रणालीलाई सही रूपमा चिन्ह लगाउनको लागि एक संक्रमण सेटअप गर्नुहोस्। चलिरहेको प्रक्रियाहरू। अन्तिम पङ्क्तिले नीतिलाई लोड भएको समयमा पूर्वनिर्धारित रूपमा सक्षम रूपमा सेट गर्दछ।

gunicorn.te:

policy_module(gunicorn, 1.0)

type gunicorn_t;
type gunicorn_exec_t;
init_daemon_domain(gunicorn_t, gunicorn_exec_t)
permissive gunicorn_t;

तपाइँ यो नीति फाइल कम्पाइल गर्न सक्नुहुन्छ र तपाइँको प्रणालीमा थप्न सक्नुहुन्छ।

make -f /usr/share/selinux/devel/Makefile
sudo semodule -i gunicorn.pp

sudo semanage permissive -a gunicorn_t
sudo semodule -l | grep permissive

SELinux ले हाम्रो अज्ञात डेमनले पहुँच गरिरहेको कुरा बाहेक अरू केही रोकिरहेको छ कि छैन भनेर जाँच गरौं।

sudo ausearch -m AVC

type=AVC msg=audit(1545315977.237:1273): avc:  denied { write } for pid=19400 comm="nginx" name="gunicorn.sock" dev="tmpfs" ino=52977 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file permissive=0

SELinux ले Nginx लाई Gunicorn द्वारा प्रयोग गरिएको UNIX सकेटमा डाटा लेख्नबाट रोक्छ। सामान्यतया, त्यस्ता अवस्थाहरूमा, नीतिहरू परिवर्तन हुन थाल्छन्, तर अगाडि अन्य चुनौतीहरू छन्। तपाईं डोमेन सेटिङहरू प्रतिबन्ध डोमेनबाट अनुमति डोमेनमा परिवर्तन गर्न सक्नुहुन्छ। अब httpd_t लाई अनुमति डोमेनमा सारौं। यसले Nginx लाई आवश्यक पहुँच दिनेछ र हामी थप डिबगिङ कार्य जारी राख्न सक्छौं।

sudo semanage permissive -a httpd_t

त्यसोभए, एकपटक तपाईंले SELinux सुरक्षित राख्न व्यवस्थापन गर्नुभयो (तपाईंले वास्तवमै SELinux परियोजनालाई प्रतिबन्धित मोडमा छोड्नु हुँदैन) र अनुमति डोमेनहरू लोड भइसकेपछि, तपाईंले ठीकसँग काम गर्नको लागि gunicorn_exec_t को रूपमा चिन्ह लगाउन आवश्यक पर्ने कुराहरू पत्ता लगाउन आवश्यक छ। फेरि। पहुँच प्रतिबन्धहरू बारे नयाँ सन्देशहरू हेर्न वेबसाइट भ्रमण गर्ने प्रयास गरौं।

sudo ausearch -m AVC -c gunicorn

तपाईंले 'comm="gunicorn"' समावेश भएका धेरै सन्देशहरू देख्नुहुनेछ जुन /srv/djangoapp मा फाइलहरूमा विभिन्न चीजहरू गर्दछ, त्यसैले यो स्पष्ट रूपमा फ्ल्याग गर्न लायक आदेशहरू मध्ये एक हो।

तर यसको अतिरिक्त, यस्तो सन्देश देखा पर्दछ:

type=AVC msg=audit(1545320700.070:1542): avc:  denied { execute } for pid=20704 comm="(gunicorn)" name="python3.6" dev="vda3" ino=8515706 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file permissive=0

यदि तपाईंले gunicorn सेवाको स्थिति हेर्नुभयो वा ps आदेश चलाउनु भयो भने, तपाईंले कुनै पनि चलिरहेको प्रक्रियाहरू देख्नुहुने छैन। यस्तो देखिन्छ कि gunicorn हाम्रो virtualenv वातावरणमा पाइथन अनुवादक पहुँच गर्न कोशिस गर्दैछ, सम्भवतः कार्यकर्ता स्क्रिप्टहरू चलाउनको लागि। त्यसोभए अब यी दुई कार्यान्वयनयोग्य फाइलहरू चिन्ह लगाउनुहोस् र जाँच गर्नुहोस् कि हामीले हाम्रो Django परीक्षण पृष्ठ खोल्न सक्छौं।

chcon -t gunicorn_exec_t /srv/djangoapp/django/bin/gunicorn /srv/djangoapp/django/bin/python3.6

नयाँ ट्याग चयन गर्नु अघि gunicorn सेवा पुन: सुरु गर्न आवश्यक हुनेछ। तपाइँ यसलाई तुरुन्तै पुन: सुरु गर्न सक्नुहुन्छ वा सेवा रोक्न सक्नुहुन्छ र सकेटलाई सुरु गर्न दिनुहोस् जब तपाइँ ब्राउजरमा साइट खोल्नुहुन्छ। प्रमाणित गर्नुहोस् कि प्रक्रियाहरूले ps प्रयोग गरेर सही लेबलहरू प्राप्त गरेको छ।

ps -efZ | grep gunicorn

पछि सामान्य SELinux नीति सिर्जना गर्न नबिर्सनुहोस्!

यदि तपाइँ अहिले AVC सन्देशहरू हेर्नुहुन्छ भने, अन्तिम सन्देशमा अनुप्रयोगसँग सम्बन्धित सबै चीजहरूको लागि अनुमति = 1 र बाँकी प्रणालीको लागि अनुमति = 0 समावेश छ। यदि तपाईंले वास्तविक अनुप्रयोगलाई कस्तो प्रकारको पहुँच चाहिन्छ भन्ने कुरा बुझ्नुहुन्छ भने, तपाईंले चाँडै त्यस्ता समस्याहरू समाधान गर्ने उत्तम तरिका फेला पार्न सक्नुहुन्छ। तर त्यतिन्जेल, प्रणालीलाई सुरक्षित राख्नु र Django परियोजनाको स्पष्ट, प्रयोगयोग्य लेखापरीक्षण प्राप्त गर्नु उत्तम हुन्छ।

sudo ausearch -m AVC

भयो!

काम गर्ने Django प्रोजेक्ट Nginx र Gunicorn WSGI मा आधारित फ्रन्टएन्डको साथ देखा पर्‍यो। हामीले RHEL 3 बिटा रिपोजिटरीहरूबाट Python 10 र PostgreSQL 8 कन्फिगर गर्यौं। अब तपाईं अगाडि बढ्न र कन्फिगरेसन प्रक्रियालाई स्वचालित गर्न, कार्यसम्पादन सुधार गर्न, वा यो कन्फिगरेसन कन्टेनराइज गर्न RHEL 8 बिटामा Django अनुप्रयोगहरू सिर्जना गर्न (वा केवल डिप्लोय) गर्न सक्नुहुन्छ वा अन्य उपलब्ध उपकरणहरू अन्वेषण गर्न सक्नुहुन्छ।

स्रोत: www.habr.com