SELiniux ist bestimmt gut - kann einen aber in den WAAAHNSINN treiben. Immer dann, wenn irgendwas aus irgendeinem Grund gar nicht (geht ja noch) oder zum Großteil nicht funktioniert.

So geschehen gestern bei der Einrichtung des Reverse-Proxies. Da war ich "nur" auf die Idee gekommen, die Logfiles des als Reverse-Proxy verwendeten Apache-Webservers satt auf die lokale SSD lieber auf einen NFS-Share zu legen.
Gesagt - getan.

/etc/httpd/httpd.conf
    CustomLog "| /usr/sbin/rotatelogs /logs/172.16.0.1/httpd/wiki_revProxy.access_log_%Y%m%d 86400"   common
    CustomLog "| /usr/sbin/rotatelogs  /logs/172.16.0.1/httpd/wiki_revProxy.referrer_log_%Y%m%d86400"  referrer
    ErrorLog  "| /usr/sbin/rotatelogs /logs/172.16.0.1/httpd/wiki_revProxy.error_log_%Y%m%d 86400"


Gescheitert. 

AH00106: piped log program ' /usr/sbin/rotatelogs ... ' failed unexpectedly. Could not open log file '/logs/172.16.0.1/... ' (Permission denied)

Unexpectedly - das sagt´s.

Na dann  schaun mer mal:

  1. Google bemüht. Nix brauchbares.
  2.  Andere Configs gecheckt - nix brauchbares.
  3. geärgert.
  4. sich ergeben: "Na dann alles zurück - so wichtig ist´s nun auch nicht."


Okay - Dann also: "Kommando zurück. (obwohl da ja wohl nicht wahr sein kann...)":

  1. Apache gestoppt.
  2. Neues (altes) Verzeichnis als /var/log/httpd angelegt
  3. Alle Links zurück-gedreht, Config für´s Logging zurückgeändert
  4. Apache gestartet.... und
  5. NIX war´s.  Gleiche Fehlermeldung - nur jetzt auch lokal. Apache schmiert mir das error.log zu, obwohl das alles schön geordnet in separate Files gehen sollte. stattdessen AH00106... (s.o.). 
    Und jetzt die Krönung: Natürlich nur die CustomLogs (die per logrotate) - mit den nativen apache-logs gibt´s kein Problem!. Vorher haben die Custom-Logs genau hier funktioniert - jetzt nicht mehr. Grrmpf.
  6. Okay: Config nochmals gecheckt. Offene Files gecheckt. Sicherheitshalber rebootet - NIX!!!
  7. Irgendwann schwante es mir: CentOS - da läuft doch evtl. von Hause aus SELinux!  – RRRICHTIG!


Also: Centos mal gegoogelt: (1): "rotatelogs not work for httpd log" und dann (2): "https://wiki.centos.org/HowTos/SELinux" (ich hab da nicht wirklich viel Ahnung (bisher) von) und hab dann nach kurzer Überlegung mal den Status von SELinux auf dem System geprüft...

 

... und - sieheda - scharf geschaltet !!!

Mit Hilfe von "https://www.centos.org/docs/5/html/5.1/Deployment_Guide/sec-sel-enable-disable.html" hab ich jetzt das Sytem auf "Monitoring" geschaltet.

 

... Surprise - ES FUNKTIONIERT -


Wieder was für die Rubrik: "Lernern durch Schmerz" (smile)


  • No labels