Salut, En effet, je n'étais pas encore allé assez loin dans la doc redhat pour voir ça.
En fait, le problème était a priori juste systemd, changer vers bin_t les scripts de start/stop a l'air suffisant. J'espère parce que je n'arrive pas à avoir les AVC... 🤔 Je vais probablement m'arrêter là pour l'instant, mais j'ai déjà appris un peu ! Merci, Jérémy Le ven. 12 janv. 2024, 15:10, Léo Gigandon <leo.gigan...@ankhmorpork.host> a écrit : > Salut Jérémy, > > Pas de réponse précise sur ton problème, mais la dernière fois que j'ai > dû régler des problèmes de SELinux je me suis référé à la doc de RedHat > : > > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html-single/using_selinux/index > . > > J'avais utilisé audit2allow pour générer les règles liées à > l'application. En gros tu fais tourner ton appli en permissive, ce qui > permet de loguer les alertes, puis tu analyses les logs avec sealert et > tu génères des règles avec audit2allow. Et tu vérifies manuellement si > elles font sens et tu les adaptes. Le procédé est décrit dans cette > section de la doc : > > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html-single/using_selinux/index#troubleshooting-problems-related-to-selinux_using-selinux > > Bon courage, > > Léo > > On 12/01/2024 02:51, Jeremy Monnet wrote: > > Salut les gens, > > > > J'ai une question selinux "un peu" avancée. D'avance je m'excuse parce > > que oui, j'aurais dû investir du temps dans selinux il y a bien > > longtemps (qu'on aime ou pas, je devrais être capable de répondre à ce > > genre de question...) > > > > J'ai lu de la doc, regardé des tuto, je maîtrise selinux pour > > apache... Mon problème c'est une appli métier dans une arborescence > > dédiée. Quand on active selinux en enforcing, elle ne démarre plus. > > ls -lZ /application > > drwxrwxr-x. 3 user group system_u:object_r:unlabeled_t:s0 40 Jan 11 > > 17:56 /application/ > > restorecon -n -v /application/ > > Would relabel /application from system_u:object_r:unlabeled_t:s0 to > > system_u:object_r:default_t:s0 > > ps -eZ | grep -i appli > > system_u:system_r:initrc_t:s0 11943 ? 00:00:09 appli > > > > Déjà, question bête, est-ce qu'un restorecon (récursif...) suffirait à > > ce que l'appli démarre ? initrc_t vers default_t ? > > Ensuite, surtout quelle est la meilleur marche à suivre, je suppose > > qu'il faut a minima ajouter un contexte, genre > > semanage fcontext -a -t unconfined_t '/application(/.*)?' > > > > Mais dans ce cas précis si on veut faire du selinux "pour de vrai" > > est-ce qu'il ne faudrait pas ajouter un type dédié genre mon_appli_t ? > > et c'est là où je sèche complètement, que faudrait-il faire en plus > > sur le user, sur le process pour que ça fonctionne bien ? > > > > Merci d'avance pour toute aide :) > > > > Jérémy > > > > _______________________________________________ > > Liste de diffusion du %(real_name)s > > http://www.frsag.org/ > _______________________________________________ > Liste de diffusion du %(real_name)s > http://www.frsag.org/
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
