主页 / user-539136

siralbert's questions

Martin Hope
siralbert
Asked: 2024-03-21 03:22:12 +0800 CST
  • 6

原始文件上下文为/run/unicorn.socktcontext=system_u:object_r:var_run_t:s0

当我启动套接字单元时,如何使文件上下文自动成为 system_u:object_r: httpd_var_run_t :s0 ,以便 nginx 服务器可以连接并写入套接字文件而不会被 SELinux 拒绝。

这是我创建的套接字守护进程/usr/lib/systemd/system/unicorn.socket

[Unit]
Description=unicorn socket

[Socket]
ListenStream=/run/unicorn.sock

[Install]
WantedBy=sockets.target

以及相应的/usr/lib/systemd/system/unicorn.service

[Unit]
Description=unicorn daemon
Requires=unicorn.socket
After=network.target

[Service]
User=ec2-user
Group=ec2-user
WorkingDirectory=/home/ec2-user/product-catalog
ExecStart=/home/ec2-user/product-catalog/venv/bin/gunicorn \
          --access-logfile - \
          -k uvicorn.workers.UvicornWorker \
          --workers 3 \
          --bind unix:/run/unicorn.sock \
          app:app


[Install]
WantedBy=multi-user.target

我注意到 php-fpm 的套接字文件位于 /run/php-fpm

systemd
Martin Hope
siralbert
Asked: 2024-03-15 05:19:34 +0800 CST
  • 5

我正在阅读本指南,它允许我为应用程序创建自定义 SELinux 策略并限制对内核系统文件的无限制访问。

在步骤 9 中,我需要向类型强制文件 (mydaemon.te) 添加规则,并通过运行mydaemon.sh脚本重建并重新安装策略。不幸的是,我在标记“;”处遇到了错误“未知类型var_log_t” 如下所示。

[ec2-user@ip-172-31-6-46 ~]$ sudo ./mydaemon.sh
Building and Loading Policy
+ make -f /usr/share/selinux/devel/Makefile mydaemon.pp
Compiling targeted mydaemon module
mydaemon.te:26:ERROR 'unknown type var_log_t' at token ';' on line 4010:
    
allow mydaemon_t var_log_t:file { open write getattr };
/usr/bin/checkmodule:  error(s) encountered while parsing configuration
make: *** [/usr/share/selinux/devel/include/Makefile:157: tmp/mydaemon.mod] Error 1
+ exit

我尝试使用另一种类型,例如var_t,但这也不起作用。

security
Martin Hope
siralbert
Asked: 2023-11-04 20:22:27 +0800 CST
  • 9

我通常使用apt包管理器安装早期版本(3.11.2),并从源手动安装更高版本(3.12)。当我像这样执行 python 脚本时:

./python_script.py

该脚本使用较早的版本而不是较新的版本。出于可移植性的原因,我想将默认的 shebang 行#!/usr/bin/env python3单独保留在脚本的开头。

这是一个示例测试脚本。

#!/usr/bin/env python3

import sys

def main():
  print(sys.version)

main()

在此输入图像描述

编辑:通过上述配置,我认为目前最快的解决方案(可能不是最好的,因为未来的后果,请参阅下面社区的详细解释的答案和评论)是更改 / 中 python3 符号链接的目标/usr/local/bin/python3.12的/usr/local/bin/python3.12 的替代品,其中存储了我的 python3.12 二进制文件。

在此输入图像描述

编辑2:如第二个屏幕截图所示,./myscript.py通过验证该目录位于环境变量中的目录/usr/local/bin之前并将二进制文件重命名为./usr/binPATHpython3.12/usr/local/bin/python3

apt