Início / unix / Perguntas / 772786
Accepted
siralbert
Asked: 2024-03-21 03:22:12 +0800 CST

Como defino automaticamente o contexto de destino de um arquivo .sock como **httpd_var_run_t** para que o nginx possa se conectar e gravar no soquete?

  • 772

O contexto do arquivo original /run/unicorn.socké tcontext=system_u:object_r:var_run_t:s0

Como faço para que o contexto do arquivo seja automaticamente system_u:object_r: httpd_var_run_t :s0 quando inicio a unidade de soquete para que o servidor nginx possa se conectar e gravar no arquivo de soquete sem ser negado pelo SELinux.

Aqui está o daemon de soquete que criei em/usr/lib/systemd/system/unicorn.socket

[Unit]
Description=unicorn socket

[Socket]
ListenStream=/run/unicorn.sock

[Install]
WantedBy=sockets.target

e o correspondente/usr/lib/systemd/system/unicorn.service

[Unit]
Description=unicorn daemon
Requires=unicorn.socket
After=network.target

[Service]
User=ec2-user
Group=ec2-user
WorkingDirectory=/home/ec2-user/product-catalog
ExecStart=/home/ec2-user/product-catalog/venv/bin/gunicorn \
          --access-logfile - \
          -k uvicorn.workers.UvicornWorker \
          --workers 3 \
          --bind unix:/run/unicorn.sock \
          app:app


[Install]
WantedBy=multi-user.target

Notei o arquivo de soquete do php-fpm em /run/php-fpm

systemd

1 respostas

  1. Best Answer

    Quando o systemd cria arquivos e diretórios, ele usa sua política selinux para atribuir rótulos. Isso significa que o primeiro passo é atualizar seu banco de dados de políticas selinux com informações sobre o soquete:

    semanage fcontext -a -t httpd_var_run_t /var/run/unicorn.sock

    Dada uma unidade de soquete como esta:

    [Unit]
Description=unicorn socket

[Socket]
ListenStream=/run/unicorn.sock
SocketUser=nginx
SocketGroup=nginx
SocketMode=0660

[Install]
WantedBy=sockets.target

    E uma unidade de serviço como esta:

    [Service]
Type=exec
User=nginx
Group=nginx
WorkingDirectory=/srv/app
ExecStart=gunicorn --bind unix:/run/unicorn/unicorn.sock app:app

    Isso nos leva:

    [root@localhost system]# ls -lZ /run/unicorn.sock
srw-rw----. 1 nginx nginx system_u:object_r:httpd_var_run_t:s0 0 Mar 20 21:49 /run/unicorn.sock

    Também tive que instalar o seguinte módulo de política selinux:

    module nginx_unix_socket 1.0;

require {
        type httpd_t;
        type unconfined_service_t;
        class unix_stream_socket connectto;
}

#============= httpd_t ==============
allow httpd_t unconfined_service_t:unix_stream_socket connectto;

    Para instalar o módulo (assumindo que ele esteja armazenado nginx_unix_socket.te):

    checkmodule -M -m -o nginx_unix_socket.mod nginx_unix_socket.te
semodule_package -o  nginx_unix_socket.pp -m nginx_unix_socket.mod
semodule -i nginx_unix_socket.pp

    Isso deve ser tudo que você precisa. Eu tenho na minha configuração nginx:

    location / {
        proxy_pass http://unix:/run/unicorn.sock;
}

    Com isso instalado, curl localhostconecta-se com sucesso ao serviço gunicorn vinculado ao /run/unicorn.sock.

    • 2

relate perguntas