וואָרקשאָפּ RHEL 8 ביתא: בנין ארבעטן וועב אַפּלאַקיישאַנז

RHEL 8 Beta אָפפערס דעוועלאָפּערס פילע נייַע פֿעיִקייטן, די ליסטינג פון וואָס קען נעמען בלעטער, אָבער, לערנען נייַע טינגז איז שטענדיק בעסער אין פיר, אַזוי אונטן מיר פאָרשלאָגן אַ וואַרשטאַט אויף אַקטשאַוואַלי קריייטינג אַ אַפּלאַקיישאַן ינפראַסטראַקטשער באזירט אויף Red Hat Enterprise Linux 8 Beta.

לאָמיר נעמען Python, אַ פאָלקס פּראָגראַממינג שפּראַך צווישן דעוועלאָפּערס, ווי אַ יקער, אַ קאָמבינאַציע פון ​​​​Django און PostgreSQL, אַ פערלי פּראָסט קאָמבינאַציע פֿאַר קריייטינג אַפּלאַקיישאַנז, און קאַנפיגיער RHEL 8 Beta צו אַרבעטן מיט זיי. דערנאָך מיר לייגן אַ פּאָר מער (אַנקלאַססיפיעד) ינגרידיאַנץ.

די פּראָבע סוויווע וועט טוישן, ווייַל עס איז טשיקאַווע צו ויספאָרשן די פּאַסאַבילאַטיז פון אָטאַמיישאַן, ארבעטן מיט קאַנטיינערז און טריינג ינווייראַנמאַנץ מיט קייפל סערווערס. צו אָנהייבן מיט אַ נייַע פּרויעקט, איר קענען אָנהייבן צו שאַפֿן אַ קליין פּשוט פּראָוטאַטייפּ מיט האַנט, אַזוי איר קענען זען פּונקט וואָס דאַרף פּאַסירן און ווי עס ינטעראַקץ, און דאַן מאַך אויף צו אָטאַמייט און שאַפֿן מער קאָמפּליצירט קאַנפיגיעריישאַנז. הייַנט מיר זענען גערעדט וועגן דער שאַפונג פון אַזאַ אַ פּראָוטאַטייפּ.

לאָמיר אָנהייבן מיט דיפּלייינג די RHEL 8 Beta VM בילד. איר קענען ינסטאַלירן אַ ווירטואַל מאַשין פֿון קראַצן, אָדער נוצן די KVM גאַסט בילד בנימצא מיט דיין ביתא אַבאָנעמענט. ווען איר נוצן אַ גאַסט בילד, איר דאַרפֿן צו קאַנפיגיער אַ ווירטואַל קאָמפּאַקטדיסק וואָס וועט אַנטהאַלטן מעטאַדאַטאַ און באַניצער דאַטן פֿאַר וואָלקן יניטיאַליזאַטיאָן (וואָלקן-יניט). איר טאָן ניט דאַרפֿן צו טאָן עפּעס ספּעציעל מיט די דיסק סטרוקטור אָדער בנימצא פּאַקאַדזשאַז; קיין קאַנפיגיעריישאַן וועט טאָן.

זאל ס נעמען אַ נעענטער קוק בייַ די גאנצע פּראָצעס.

ינסטאָלינג Django

מיט די נואַסט ווערסיע פון ​​​​Django, איר וועט דאַרפֿן אַ ווירטואַל סוויווע (ווירטואַלענוו) מיט Python 3.5 אָדער שפּעטער. אין די ביתא הערות איר קענען זען אַז Python 3.6 איז בארעכטיגט, לאָמיר טשעק אויב דאָס איז טאַקע דער פאַל:

[cloud-user@8beta1 ~]$ python
-bash: python: command not found
[cloud-user@8beta1 ~]$ python3
-bash: python3: command not found

Red Hat אַקטיוולי ניצט Python ווי אַ סיסטעם טאָאָלקיט אין RHEL, אַזוי וואָס דאָס רעזולטאַט?

דער פאַקט איז אַז פילע פּיטהאָן דעוועלאָפּערס נאָך באַטראַכטן די יבערגאַנג פון Python 2 צו Python 2, בשעת Python 3 זיך איז אונטער אַקטיוו אַנטוויקלונג, און מער און מער נייַע ווערסיעס זענען קעסיידער ארויס. דעריבער, צו טרעפן די נויט פֿאַר סטאַביל סיסטעם מכשירים און פאָרשלאָגן ניצערס אַקסעס צו פאַרשידן נייַע ווערסיעס פון פּיטהאָן, סיסטעם פּיטהאָן איז אריבערגעפארן אין אַ נייַע פּעקל און צוגעשטעלט די פיייקייט צו ינסטאַלירן ביידע Python 2.7 און 3.6. מער אינפֿאָרמאַציע וועגן די ענדערונגען און וואָס זיי זענען געמאכט קענען זיין געפֿונען אין די ויסגאַבע אין Langdon White ס בלאָג (לאַנגדאָן ווייסע).

אַזוי, צו באַקומען ארבעטן פּיטהאָן, איר נאָר דאַרפֿן צו ינסטאַלירן צוויי פּאַקאַדזשאַז, מיט פּיטהאָן3-פּיפּ אַרייַנגערעכנט ווי אַ דעפּענדענסי.

sudo yum install python36 python3-virtualenv

פארוואס טאָן ניט נוצן דירעקט מאָדולע קאַללס ווי Langdon סאַגדזשעסץ און ינסטאַלירן pip3? אין זינען די אַפּקאַמינג אָטאַמיישאַן, עס איז באַוווסט אַז Ansible וועט דאַרפן פּיפּ אינסטאַלירן צו לויפן, ווייַל די פּיפּ מאָדולע שטיצט נישט ווירטועלעווס מיט אַ מנהג פּיפּ עקסעקוטאַבלע.

מיט אַ ארבעטן פּיטהאָן 3 יבערזעצער צו דיין באַזייַטיקונג, איר קענען פאָרזעצן מיט די Django ייַנמאָנטירונג פּראָצעס און האָבן אַ ארבעטן סיסטעם צוזאַמען מיט אונדזער אנדערע קאַמפּאָונאַנץ. עס זענען פילע ימפּלאַמענטיישאַן אָפּציעס בנימצא אויף דער אינטערנעץ. עס איז איין ווערסיע דערלאנגט דאָ, אָבער יוזערז קענען נוצן זייער אייגענע פּראַסעסאַז.

מיר וועלן ינסטאַלירן די PostgreSQL און Nginx ווערסיעס בנימצא אין RHEL 8 דורך פעליקייַט ניצן Yum.

sudo yum install nginx postgresql-server

PostgreSQL וועט דאַרפן psycopg2, אָבער עס דאַרף זיין בארעכטיגט בלויז אין אַ ווירטואַל ינווייראַנמענאַל סוויווע, אַזוי מיר וועלן ינסטאַלירן עס מיט pip3 צוזאַמען מיט Django און Gunicorn. אבער ערשטער מיר דאַרפֿן צו שטעלן ווירטועלענוו.

עס איז שטענדיק אַ פּלאַץ פון דעבאַטע אויף די טעמע פון ​​טשוזינג די רעכט אָרט צו ינסטאַלירן Django פּראַדזשעקס, אָבער אויב איר זענט אין צווייפל, איר קענט שטענדיק ווענדן צו די Linux Filesystem Hierarchy Standard. ספּאַסיפיקלי, די FHS זאגט אַז / srv איז געניצט צו: "סטאָר האָסט-ספּעציפיש דאַטן - דאַטן וואָס די סיסטעם טראגט, אַזאַ ווי וועב סערווער דאַטן און סקריפּס, דאַטן סטאָרד אויף פטפּ סערווערס און קאָנטראָל סיסטעם ריפּאַזאַטאָריז." ווערסיעס (דערשיינונג אין FHS -2.3 אין 2004)."

דאָס איז פּונקט אונדזער פאַל, אַזוי מיר שטעלן אַלץ מיר דאַרפֿן אין / srv, וואָס איז אָונד דורך אונדזער אַפּלאַקיישאַן באַניצער (וואָלקן-באַניצער).

sudo mkdir /srv/djangoapp
sudo chown cloud-user:cloud-user /srv/djangoapp
cd /srv/djangoapp
virtualenv django
source django/bin/activate
pip3 install django gunicorn psycopg2
./django-admin startproject djangoapp /srv/djangoapp

באַשטעטיקן PostgreSQL און Django איז גרינג: שאַפֿן אַ דאַטאַבייס, שאַפֿן אַ באַניצער, קאַנפיגיער פּערמישאַנז. איין זאַך צו האַלטן אין זינען ווען טכילעס ינסטאָלינג PostgreSQL איז די postgresql-סעטאַפּ שריפט וואָס איז אינסטאַלירן מיט די postgresql-server פּעקל. דער שריפט העלפּס איר דורכפירן יקערדיק טאַסקס פֿאַרבונדן מיט דאַטאַבייס קנויל אַדמיניסטראַציע, אַזאַ ווי קנויל יניטיאַליזאַטיאָן אָדער די אַפּגרייד פּראָצעס. צו קאַנפיגיער אַ נייַע PostgreSQL בייַשפּיל אויף אַ RHEL סיסטעם, מיר דאַרפֿן צו לויפן די באַפֿעל:

sudo /usr/bin/postgresql-setup -initdb

דערנאָך איר קענען אָנהייבן PostgreSQL ניצן systemd, שאַפֿן אַ דאַטאַבייס און שטעלן אַ פּרויעקט אין Django. געדענקט צו ריסטאַרט PostgreSQL נאָך מאכן ענדערונגען צו דער קליענט אָטענטאַקיישאַן קאַנפיגיעריישאַן טעקע (יוזשאַוואַלי pg_hba.conf) צו קאַנפיגיער פּאַראָל סטאָרידזש פֿאַר די אַפּלאַקיישאַן באַניצער. אויב איר טרעפן אנדערע שוועריקייטן, מאַכן זיכער צו טוישן די IPv4 און IPv6 סעטטינגס אין די pg_hba.conf טעקע.

systemctl enable -now postgresql

sudo -u postgres psql
postgres=# create database djangoapp;
postgres=# create user djangouser with password 'qwer4321';
postgres=# alter role djangouser set client_encoding to 'utf8';
postgres=# alter role djangouser set default_transaction_isolation to 'read committed';
postgres=# alter role djangouser set timezone to 'utc';
postgres=# grant all on DATABASE djangoapp to djangouser;
postgres=# q

אין דער טעקע /var/lib/pgsql/data/pg_hba.conf:

# IPv4 local connections:
host    all        all 0.0.0.0/0                md5
# IPv6 local connections:
host    all        all ::1/128                 md5

אין דער טעקע /srv/djangoapp/settings.py:

# Database
DATABASES = {
   'default': {
       'ENGINE': 'django.db.backends.postgresql_psycopg2',
       'NAME': '{{ db_name }}',
       'USER': '{{ db_user }}',
       'PASSWORD': '{{ db_password }}',
       'HOST': '{{ db_host }}',
   }
}

נאָך קאַנפיגיערינג די סעטטינגס.py טעקע אין די פּרויעקט און באַשטעטיקן די דאַטאַבייס קאַנפיגיעריישאַן, איר קענען אָנהייבן די אַנטוויקלונג סערווער צו מאַכן זיכער אַז אַלץ אַרבעט. נאָך סטאַרטינג די אַנטוויקלונג סערווער, עס איז אַ גוטע געדאַנק צו שאַפֿן אַ אַדמיניסטראַטאָר באַניצער צו פּרובירן די קשר צו די דאַטאַבייס.

./manage.py runserver 0.0.0.0:8000
./manage.py createsuperuser

ווסגי? וויי?

דער אַנטוויקלונג סערווער איז נוציק פֿאַר טעסטינג, אָבער צו לויפן די אַפּלאַקיישאַן איר מוזן קאַנפיגיער די צונעמען סערווער און פּראַקסי פֿאַר די וועב סערווירער גאַטעווייַ צובינד (WSGI). עס זענען עטלעכע פּראָסט קאַמבאַניישאַנז, למשל, Apache HTTPD מיט uWSGI אָדער Nginx מיט Gunicorn.

די אַרבעט פון די וועב סערווער גאַטעווייַ צובינד איז צו פאָרויס ריקוועס פון די וועב סערווער צו די פּיטהאָן וועב פריימווערק. WSGI איז אַ רעליק פון די שרעקלעך פאַרגאַנגענהייט ווען CGI ענדזשאַנז זענען אַרום, און הייַנט WSGI איז די דע פאַקטאָ נאָרמאַל, ראַגאַרדלאַס פון די וועב סערווער אָדער פּיטהאָן פריימווערק געוויינט. אָבער טראָץ זייַן וויידספּרעד נוצן, עס זענען נאָך פילע נואַנסיז ווען ארבעטן מיט די פראַמעוואָרקס, און פילע ברירות. אין דעם פאַל, מיר וועלן פּרובירן צו פאַרלייגן ינטעראַקשאַן צווישן Gunicorn און Nginx דורך אַ כאָלעל.

זינט ביידע קאַמפּאָונאַנץ זענען אינסטאַלירן אויף די זעלבע סערווער, לאָזן אונדז פּרובירן צו נוצן אַ UNIX כאָלעל אַנשטאָט פון אַ נעץ כאָלעל. זינט קאָמוניקאַציע ריקווייערז אַ כאָלעל אין קיין פאַל, לאָזן אונדז פּרובירן צו נעמען נאָך אַ שריט און קאַנפיגיער כאָלעל אַקטאַוויישאַן פֿאַר גוניקאָרן דורך סיסטעם.

דער פּראָצעס פון קריייטינג כאָלעל אַקטיווייטיד באַדינונגס איז גאַנץ פּשוט. ערשטער, אַ אַפּאַראַט טעקע איז באשאפן וואָס כּולל אַ ListenStream דירעקטיוו ווייזן צו די פונט אין וואָס די UNIX כאָלעל וועט זיין באשאפן, דערנאָך אַ אַפּאַראַט טעקע פֿאַר די סערוויס אין וואָס די רעקווירעס דירעקטיוו וועט פונט צו די כאָלעל אַפּאַראַט טעקע. דערנאָך, אין די סערוויס אַפּאַראַט טעקע, אַלע וואָס בלייבט איז צו רופן Gunicorn פֿון די ווירטואַל סוויווע און שאַפֿן אַ WSGI ביינדינג פֿאַר די UNIX כאָלעל און די Django אַפּלאַקיישאַן.

דאָ זענען עטלעכע ביישפילן פון אַפּאַראַט טעקעס אַז איר קענען נוצן ווי אַ יקער. ערשטער מיר שטעלן אַרויף די כאָלעל.

[Unit]
Description=Gunicorn WSGI socket

[Socket]
ListenStream=/run/gunicorn.sock

[Install]
WantedBy=sockets.target

איצט איר דאַרפֿן צו קאַנפיגיער די גוניקאָרן דיימאַן.

[Unit]
Description=Gunicorn daemon
Requires=gunicorn.socket
After=network.target

[Service]
User=cloud-user
Group=cloud-user
WorkingDirectory=/srv/djangoapp

ExecStart=/srv/djangoapp/django/bin/gunicorn 
         —access-logfile - 
         —workers 3 
         —bind unix:gunicorn.sock djangoapp.wsgi

[Install]
WantedBy=multi-user.target

פֿאַר Nginx, עס איז אַ פּשוט ענין פון קריייטינג פּראַקסי קאַנפיגיעריישאַן טעקעס און באַשטעטיקן אַ וועגווייַזער צו קראָם סטאַטיק אינהאַלט אויב איר נוצן איין. אין RHEL, Nginx קאַנפיגיעריישאַן טעקעס זענען ליגן אין /etc/nginx/conf.d. איר קענט נאָכמאַכן די פאלגענדע ביישפּיל אין דער טעקע /etc/nginx/conf.d/default.conf און אָנהייבן די דינסט. מאַכן זיכער צו שטעלן די server_name צו גלייַכן דיין באַלעבאָס נאָמען.

server {
   listen 80;
   server_name 8beta1.example.com;

   location = /favicon.ico { access_log off; log_not_found off; }
   location /static/ {
       root /srv/djangoapp;
   }

   location / {
       proxy_set_header Host $http_host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_pass http://unix:/run/gunicorn.sock;
   }
}

אָנהייב די Gunicorn כאָלעל און Nginx ניצן סיסטעמ און איר זענט גרייט צו אָנהייבן טעסטינג.

שלעכט גייטוויי טעות?

אויב איר אַרייַן די אַדרעס אין דיין בלעטערער, ​​איר וועט מיסטאָמע באַקומען אַ 502 Bad Gateway טעות. עס קען זיין געפֿירט דורך ינקערעקטלי קאַנפיגיערד UNIX כאָלעל פּערמישאַנז, אָדער עס קען זיין רעכט צו מער קאָמפּליצירט ישוז שייַכות צו אַקסעס קאָנטראָל אין SELinux.

אין די nginx טעות קלאָץ איר קענען זען אַ שורה ווי דאָס:

2018/12/18 15:38:03 [crit] 12734#0: *3 connect() to unix:/run/gunicorn.sock failed (13: Permission denied) while connecting to upstream, client: 192.168.122.1, server: 8beta1.example.com, request: "GET / HTTP/1.1", upstream: "http://unix:/run/gunicorn.sock:/", host: "8beta1.example.com"

אויב מיר פּרובירן גוניקאָרן גלייַך, מיר וועלן באַקומען אַ ליידיק ענטפער.

curl —unix-socket /run/gunicorn.sock 8beta1.example.com

זאל ס רעכענען אויס וואָס דאָס כאַפּאַנז. אויב איר עפֿענען דעם קלאָץ, איר וועט רובֿ מסתּמא זען אַז די פּראָבלעם איז שייַכות צו SELinux. זינט מיר לויפן אַ דיימאַן פֿאַר וואָס קיין פּאָליטיק איז באשאפן, עס איז אנגעצייכנט ווי init_t. זאל ס פּרובירן דעם טעאָריע אין פיר.

sudo setenforce 0

אַלע דעם קען פאַרשאַפן קריטיק און טרערן פון בלוט, אָבער דאָס איז נאָר דיבאַגינג די פּראָוטאַטייפּ. לאָמיר דיסייבאַל די טשעק נאָר צו מאַכן זיכער אַז דאָס איז דער פּראָבלעם, נאָך וואָס מיר וועלן צוריקקומען אַלץ צוריק צו זיין אָרט.

דורך רעפרעשינג דעם בלאַט אין דעם בלעטערער אָדער ריראַנינג אונדזער קערל באַפֿעל, איר קענען זען די Django פּרובירן בלאַט.

אַזוי, מיר מאַכן זיכער אַז אַלץ אַרבעט און עס זענען קיין דערלויבעניש פּראָבלעמס, מיר געבן SELinux ווידער.

sudo setenforce 1

איך וועל נישט רעדן וועגן Audit2allow אָדער קריייטינג פלינק-באזירט פּאַלאַסיז מיט סעפּאָלגען דאָ, ווייַל עס איז קיין פאַקטיש Django אַפּלאַקיישאַן אין דעם מאָמענט, אַזוי עס איז קיין גאַנץ מאַפּע פון ​​וואָס Gunicorn זאל וועלן צו אַקסעס און וואָס עס זאָל לייקענען אַקסעס צו. דעריבער, עס איז נייטיק צו האַלטן SELinux פליסנדיק צו באַשיצן די סיסטעם, און אין דער זעלביקער צייט לאָזן די אַפּלאַקיישאַן לויפן און לאָזן אַרטיקלען אין די קאָנטראָלירן קלאָץ אַזוי אַז די פאַקטיש פּאָליטיק קענען זיין באשאפן פֿון זיי.

ספּעציפיצירן פּערמיסיוו דאָומיינז

ניט אַלעמען האט געהערט פון ערלויבט דאָומיינז אין SELinux, אָבער זיי זענען גאָרנישט נייַ. פילע אפילו געארבעט מיט זיי אָן אפילו ריאַלייזינג עס. ווען אַ פּאָליטיק איז באשאפן באזירט אויף קאָנטראָלירן אַרטיקלען, די באשאפן פּאָליטיק רעפּראַזענץ די ריזאַלווד פעלד. זאל ס פּרובירן צו שאַפֿן אַ פּשוט פּערמיטינג פּאָליטיק.

צו שאַפֿן אַ ספּעציפיש ערלויבט פעלד פֿאַר גוניקאָרן, איר דאַרפֿן אַ מין פון פּאָליטיק, און איר אויך דאַרפֿן צו צייכן די צונעמען טעקעס. אין דערצו, מכשירים זענען דארף צו אַסעמבאַל נייַע פּאַלאַסיז.

sudo yum install selinux-policy-devel

דער דערלויבט דאָומיינז מעקאַניזאַם איז אַ גרויס געצייַג צו ידענטיפיצירן פּראָבלעמס, ספּעציעל ווען עס קומט צו אַ מנהג אַפּלאַקיישאַן אָדער אַפּלאַקיישאַנז וואָס שיקן אָן פּאַלאַסיז שוין באשאפן. אין דעם פאַל, די ערלויבט פעלד פּאָליטיק פֿאַר גוניקאָרן וועט זיין ווי פּשוט ווי מעגלעך - דערקלערן אַ הויפּט טיפּ (gunicorn_t), דערקלערן אַ טיפּ וואָס מיר וועלן נוצן צו צייכן קייפל עקסעקוטאַבלעס (gunicorn_exec_t), און דעמאָלט שטעלן אַ יבערגאַנג פֿאַר סיסטעם צו ריכטיק צייכן. פליסנדיק פּראַסעסאַז . די לעצטע שורה שטעלט די פּאָליטיק ווי ענייבאַלד דורך פעליקייַט אין דער צייט עס איז לאָודיד.

gunicorn.te:

policy_module(gunicorn, 1.0)

type gunicorn_t;
type gunicorn_exec_t;
init_daemon_domain(gunicorn_t, gunicorn_exec_t)
permissive gunicorn_t;

איר קענען צונויפנעמען דעם פּאָליטיק טעקע און לייגן עס צו דיין סיסטעם.

make -f /usr/share/selinux/devel/Makefile
sudo semodule -i gunicorn.pp

sudo semanage permissive -a gunicorn_t
sudo semodule -l | grep permissive

לאָמיר טשעק צו זען אויב SELinux בלאַקינג עפּעס אַנדערש ווי וואָס אונדזער אומבאַקאַנט דיימאַן אַקסעס.

sudo ausearch -m AVC

type=AVC msg=audit(1545315977.237:1273): avc:  denied { write } for pid=19400 comm="nginx" name="gunicorn.sock" dev="tmpfs" ino=52977 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file permissive=0

SELinux פּריווענץ Nginx פון שרייבן דאַטן צו די UNIX כאָלעל געניצט דורך Gunicorn. טיפּיקאַללי, אין אַזאַ קאַסעס, פּאַלאַסיז אָנהייבן צו טוישן, אָבער עס זענען אנדערע טשאַלאַנדזשיז פאָרויס. איר קענען אויך טוישן די פעלד סעטטינגס פון אַ ריסטריקשאַן פעלד צו אַ דערלויבעניש פעלד. איצט לאָזן אונדז מאַך httpd_t צו די פּערמישאַנז פעלד. דאָס וועט געבן Nginx די נויטיק אַקסעס און מיר קענען פאָרזעצן מיט ווייַטער דיבאַגינג אַרבעט.

sudo semanage permissive -a httpd_t

אַזוי, אַמאָל איר האָבן געראטן צו האַלטן SELinux פּראָטעקטעד (איר טאַקע זאָל נישט לאָזן אַ SELinux פּרויעקט אין ריסטריקטיד מאָדע) און די דערלויבעניש דאָומיינז זענען לאָודיד, איר דאַרפֿן צו רעכענען וואָס פּונקט דאַרף זיין אנגעצייכנט ווי gunicorn_exec_t צו באַקומען אַלץ ארבעטן רעכט ווידער. לאָמיר פּרובירן צו באַזוכן דעם וועבזייטל צו זען נייַע אַרטיקלען וועגן אַקסעס ריסטריקשאַנז.

sudo ausearch -m AVC -c gunicorn

איר וועט זען אַ פּלאַץ פון אַרטיקלען מיט 'comm="gunicorn"' וואָס טאָן פאַרשידן טינגז אויף טעקעס אין / srv/djangoapp, אַזוי דאָס איז דאָך איינער פון די קאַמאַנדז וואָס זענען ווערט פלאַגינג.

אָבער אין דערצו, אַ אָנזאָג ווי דאָס איז:

type=AVC msg=audit(1545320700.070:1542): avc:  denied { execute } for pid=20704 comm="(gunicorn)" name="python3.6" dev="vda3" ino=8515706 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file permissive=0

אויב איר קוק אין די סטאַטוס פון די גוניקאָרן סערוויס אָדער לויפן די ps באַפֿעל, איר וועט נישט זען קיין פליסנדיק פּראַסעסאַז. עס קוקט ווי גוניקאָרן איז טריינג צו אַקסעס די פּיטהאָן יבערזעצער אין אונדזער ווירטואַל ינווייראַנמענאַל סוויווע, עפשער צו לויפן אַרבעט סקריפּס. איצט לאָזן אונדז צייכן די צוויי עקסעקוטאַבלע טעקעס און טשעק אויב מיר קענען עפֿענען אונדזער Django פּרובירן בלאַט.

chcon -t gunicorn_exec_t /srv/djangoapp/django/bin/gunicorn /srv/djangoapp/django/bin/python3.6

די גוניקאָרן דינסט וועט זיין ריסטאַרטיד איידער די נייַע קוויטל קענען זיין אויסגעקליבן. איר קענען ריסטאַרט עס מיד אָדער האַלטן די דינסט און לאָזן די כאָלעל אָנהייבן עס ווען איר עפֿענען דעם פּלאַץ אין דעם בלעטערער. באַשטעטיקן אַז פּראַסעסאַז האָבן באקומען די ריכטיק לאַבעלס ניצן פּס.

ps -efZ | grep gunicorn

דו זאלסט נישט פאַרגעסן צו שאַפֿן אַ נאָרמאַל SELinux פּאָליטיק שפּעטער!

אויב איר קוק אין די AVC אַרטיקלען איצט, די לעצטע אָנזאָג כּולל פּערמיסיוו=1 פֿאַר אַלץ שייַכות צו די אַפּלאַקיישאַן, און פּערמיסיוו=0 פֿאַר די רעשט פון די סיסטעם. אויב איר פֿאַרשטיין וואָס מין פון אַקסעס אַ פאַקטיש אַפּלאַקיישאַן דאַרף, איר קענען געשווינד געפֿינען די בעסטער וועג צו סאָלווע אַזאַ פּראָבלעמס. אָבער ביז דעמאָלט, עס איז בעסטער צו האַלטן די סיסטעם זיכער און באַקומען אַ קלאָר, ניצלעך קאָנטראָלירן פון די Django פּרויעקט.

sudo ausearch -m AVC

געטראפן!

א ארבעטן Django פּרויעקט איז ארויס מיט אַ פראָנטענד באזירט אויף Nginx און Gunicorn WSGI. מיר קאַנפיגיערד Python 3 און PostgreSQL 10 פֿון די RHEL 8 ביתא ריפּאַזאַטאָריז. איצט איר קענען פאָרויס און שאַפֿן (אָדער פשוט צעוויקלען) Django אַפּלאַקיישאַנז אָדער ויספאָרשן אנדערע בנימצא מכשירים אין RHEL 8 ביתא צו אָטאַמייט די קאַנפיגיעריישאַן פּראָצעס, פֿאַרבעסערן פאָרשטעלונג אָדער אפילו קאַנטאַמאַנייז דעם קאַנפיגיעריישאַן.

מקור: www.habr.com