siralbert's questions

O contexto do arquivo original /run/unicorn.socké tcontext=system_u:object_r:var_run_t:s0

Como faço para que o contexto do arquivo seja automaticamente system_u:object_r: httpd_var_run_t :s0 quando inicio a unidade de soquete para que o servidor nginx possa se conectar e gravar no arquivo de soquete sem ser negado pelo SELinux.

Aqui está o daemon de soquete que criei em/usr/lib/systemd/system/unicorn.socket

[Unit]
Description=unicorn socket

[Socket]
ListenStream=/run/unicorn.sock

[Install]
WantedBy=sockets.target

e o correspondente/usr/lib/systemd/system/unicorn.service

[Unit]
Description=unicorn daemon
Requires=unicorn.socket
After=network.target

[Service]
User=ec2-user
Group=ec2-user
WorkingDirectory=/home/ec2-user/product-catalog
ExecStart=/home/ec2-user/product-catalog/venv/bin/gunicorn \
          --access-logfile - \
          -k uvicorn.workers.UvicornWorker \
          --workers 3 \
          --bind unix:/run/unicorn.sock \
          app:app


[Install]
WantedBy=multi-user.target

Notei o arquivo de soquete do php-fpm em /run/php-fpm

Estou lendo este guia que me permite criar uma política SELinux personalizada para um aplicativo e restringir o acesso irrestrito aos arquivos do sistema do kernel.

Na Etapa 9, preciso adicionar uma regra ao arquivo Type Enforcement (mydaemon.te) e reconstruir e reinstalar a política executando o script mydaemon.sh . Infelizmente, me deparei com um ERRO 'tipo desconhecido var_log_t' no token ';' como mostrado abaixo.

[ec2-user@ip-172-31-6-46 ~]$ sudo ./mydaemon.sh
Building and Loading Policy
+ make -f /usr/share/selinux/devel/Makefile mydaemon.pp
Compiling targeted mydaemon module
mydaemon.te:26:ERROR 'unknown type var_log_t' at token ';' on line 4010:
    
allow mydaemon_t var_log_t:file { open write getattr };
/usr/bin/checkmodule:  error(s) encountered while parsing configuration
make: *** [/usr/share/selinux/devel/include/Makefile:157: tmp/mydaemon.mod] Error 1
+ exit

Tentei usar outro tipo como var_t , mas também não funcionou.

Instalei a versão anterior (3.11.2) normalmente usando o gerenciador de pacotes apt e a versão posterior (3.12) manualmente a partir do código-fonte. Quando executo scripts python assim:

./python_script.py

O script usa a versão anterior em vez da posterior. Eu gostaria de deixar a linha shebang padrão #!/usr/bin/env python3no início do script por motivos de portabilidade.

Aqui está um exemplo de script de teste.

#!/usr/bin/env python3

import sys

def main():
  print(sys.version)

main()

EDIT: Com a configuração acima, estou pensando neste ponto que a solução mais rápida (provavelmente não a melhor por causa das consequências futuras, veja as respostas e comentários bem explicados da comunidade abaixo) é alterar o alvo do link simbólico python3 em / etc/alternatives para /usr/local/bin/python3.12 onde meu binário python3.12 está armazenado.

EDIT2: Como visto na segunda captura de tela, consegui ./myscript.pyusar a versão python que queria (3.12) verificando se o /usr/local/bindiretório está antes do /usr/bindiretório em minha PATHvariável de ambiente e renomeando o python3.12binário /usr/local/bin/para python3.