Изпечатай

[axxis]

Здравейте, имам един проблем със Selinux  и Apache2.
Инсталирах Апаха и ISPConfig 3.0.0.9  с Postfix, Coutier, Mysql и т.н.
Всичко работи перфектно ако спра Selinxa. Обаче като го пусна , започва да ме реже яко
Ето лога от messages:
 Mar 14 08:54:30 debian kernel: [ 1444.468150] type=1400 audit(1237013670.327:302): avc:  denied  { name_connect } for  pid=3141 comm="apache2" dest=8080 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_cache_port_t:s0 tclass=tcp_socket
Копирам си го в едно файлче на име apache , давам : audit2allow -M apache < apache
После както ме подканва давам и командата : semodule -i apache.pp и ми излиза съобщение :

libsepol.print_missing_requirements: apache's global requirements were not met: type/attribute httpd_t
libsemanage.semanage_link_sandbox: Link packages failed
semodule:  Failed!

В error лога на Apacha  стои :
[Sat Mar 14 08:52:18 2009] [warn] (13)Permission denied: connect to listener on [::]:8080

С Debian Lenny съм ядрото ми е : 2.6.26-1-686

В google не успях да намеря нищо, може и да не съм търсил като хората де.
Та ако има някой някъква идея, добре дошла е .

[gat3way]

А защо апача се опитва да се връзва на този порт?

Пак да не давам лоши идеи, ама що не си смъкнеш selinux-policy-src, да си добавиш там нещата които ги плюе audit2allow и да си го компилираш сам на ръка? После само копираш готовото в /etc/selinux/policy/... за да се зареди при следващ рестарт. Не знам ама на дебиан нещо не сработват винаги толкова безпроблемно нещата със selinux.

[axxis]

ISPconfig  се връзва на порт 8080 по подразбиране,
За selinux-policy-src , сега ще го пробвам и ще пиша след теста.

[phantomlord]

И апачето ли слуша на 8080? Виж дали порта ти е описан в selinux:

semanage port -l

Ако не е, го добави. В момента не мога да ти как точно се прави за апаче, за ssh е така:

semanage port -a -t ssh_port_t -p tcp номер_на_порт

[phantomlord]

Порта на Apache в selinux се сетва с: http_port_t

[axxis]

Здравейте,
извинявам се че не отговорих, но бях 1 седмица отпуска и нямах компютър покрай мене (почти като в рая ),  Компютъра на който е Дебиана ми е в работата, днеска пробвах да го достъпя със ssh , нямах проблеми но интересното е че като напиша команда su , не иска да я приеме (забранил съм на достъпа на root за ssh) , мисля си че selinuxa нещо съм го омазал.
В понеделник като отида на работа , ще го оправя и ще пробвам със съветите които ми дадохте, и ще пиша за резултата.
Относно порта на апаха, той е 80 , но  за да се вържа към ISPConfig , трябва да е на 8080. За съжаление от тука даже не мога да видя контекста на диртекториите и файловете.
Благодаря за съветите, и си мисля че ще се справя, с ваша помощ.

[phantomlord]

На мен ми се наложи да оказвам на selinux порта на ssh, защото не е стандартния 22.

[tolostoi]

офтопик
Тоя ISPConfig, е голема работа, той си компилира негово си апаче (май апаче 1) та да си го ползваш, нищо че имаш друго  , мани ами си има един скрипт, който го компилира (целия панел с неговите си неща), като даде грешка нещо по него инсталацията си продължава и ... инсталацията завършва с триене на папката където е сорса    кое, какво, къде и как е копирано от тоя скрипт остава загадка - по-голяма пръчка не бях ял 

[axxis]

офтопик
Тоя ISPConfig, е голема работа, той си компилира негово си апаче (май апаче 1) та да си го ползваш, нищо че имаш друго  , мани ами си има един скрипт, който го компилира (целия панел с неговите си неща), като даде грешка нещо по него инсталацията си продължава и ... инсталацията завършва с триене на папката където е сорса    кое, какво, къде и как е копирано от тоя скрипт остава загадка - по-голяма пръчка не бях ял 

Не мога да се съглася с теб, въпреки че до сега съм правил няколко мейл сървъра, вярно на centos c qmail, vpopmail и roundcube,  реших да видя постфикса и бях приятно изненадан. Работи си добре, натоварих го доста и се държа що годе стабилно (с изключен Selinux де, само за тестовете). Но това което казваш за собствено Apache, и то 1 , може да се окаже проблема в случая. Ако не ме лъже паметта , Debian Lenny, не поддържа вече Apache 1  и за това може да го спира Selinuxa. Ще поработя и над тази идея.

10х.

[tolostoi]

То беше офтопик, но ако не ме лъже паметта, това апаче, по-подразбиране работеше на порт 81 и е само за целите на ISPConfig в смисъл да си влизаш в панела на този порт, иначе си имаш друго апаче за хостване на сайтовете, както и да е при мен не проработи и не се занимавах повече, като видях за какво става дума