Пассажир/mod_rails не может инициализироваться в Fedora 12 при запуске Apache

Ответ 1

Я сделал то же самое, что и Фред, за исключением того, что вместо одной ошибки за раз:

• Перейдите в разрешающий режим, запустив setenforce 0
• Перезапустите apache и нажмите на свой сайт и используйте его некоторое время как обычно.
• Выполнить grep httpd /var/log/audit/audit.log | audit2allow -M passenger
• semodule -i passenger.pp
• Вернитесь в режим принуждения, запустив setenforce 1
• Перезапустите apache и протестируйте свой сайт - надеюсь, все должно работать как раньше!

Обратите внимание, что это в основном конкретный пример процедуры Centos SELinux help - проверьте это.

Ответ 2

У меня такая же проблема в CentOS 5.4, SELinux становится на пути Пассажира.

Настройка PassengerTempDir в/var/run/пассажир просто дает вам одинаковые ошибки разрешения в новом каталоге вместо /tmp:

[Mon Feb 22 11:42:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create directory '/var/run/passenger/passenger.3686'

Затем я могу изменить контекст безопасности/var/run/пассажир, чтобы пройти эту ошибку:

chcon -R -h -t httpd_sys_content_t /var/run/passenger/

... и который позволяет Пассажиру создавать каталог temp, но не файлы в этом каталоге:

[Mon Feb 22 12:07:06 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /var/run/passenger/passenger.3686/.guard: Permission denied (13)

Как ни странно, повторный запуск рекурсивного chcon не проходит мимо этой ошибки, он продолжает умирать на этом этапе, и именно здесь мои знания SELinux становятся мутными.

Руководство пользователя Phusion Passenger в разделах 6.3.5 и 6.3.7 содержат некоторые полезные мысли, но они, похоже, не полностью разрешают проблема.

Ответ 3

Вам нужно больше, чем просто разрешение httpd_sys_content_t. Для начала работы я использую следующий метод:

• запустите хвост в журнале аудита: tail -f /var/log/audit/audit.log
• перезагрузить apache: apachectl restart
• Перейдите в каталог /tmp/: cd /tmp
• Если добавлена ​​только одна строка, используйте команду: tail -1 /var/log/audit/audit.log | audit2allow -M httpdfifo
• Обратите внимание, что имя "httpdfifo" - это просто имя, выбранное для отражения наблюдаемой ошибки.
• Это создаст файл с именем httpdfifo.pp. Чтобы позволить apache создавать FIFO здесь, после того, как вы должны выполнить команду: semodule -i httpdfifo.pp
• Продолжайте делать это до тех пор, пока все ошибки аудита не будут устранены (для моей системы, на которой работает Centos 5.4, потребовалось 4 разных вида разрешений)

Ответ 4

Запуск setenforce 0 перед запуском позволит вам проверить, является ли это SELinux. Не забудьте запустить setenforce 1 после.

Ответ 5

Я попробовал то, что предложил Дэн Скетчер и Фред Эпплман, т.е. повторить следующее:

yum install setroubleshoot
echo > /var/log/audit/audit.log # clear irrelevant errors
cd ~
service httpd restart # try booting passenger -- audit.log now shows the relevant permission errors
tail -f /var/log/httpd/error_log # check that passenger is still failing due to permission errors
sealert -a /var/log/audit/audit.log > selinux-diag.txt # translate the permission errors
# read and check that you are happy with selinux-diag.txt 
# and either follow its specific advice, or if it just wants you to grep into audit2allow, then:
cat /var/log/audit/audit.log | audit2allow -M mypol  # grant everything just denied
semodule -i mypol.p # commit new permissions

Но после этого 5 или 6 раз я продолжал сталкиваться с новыми ошибками, и некоторые из тех же ошибок возникали даже после того, как я пытался разрешить им "audit2allow".

В итоге я просто отключил SELinux, используя:

echo 0 >/selinux/enforce