View Source

SELiniux ist bestimmt gut - kann einen aber in den WAAAHNSINN treiben. Immer dann, wenn irgendwas aus irgendeinem Grund gar nicht (geht ja noch) oder zum Großteil nicht funktioniert.

So geschehen gestern bei der Einrichtung des Reverse-Proxies. Da war ich "nur" auf die Idee gekommen, die Logfiles des als Reverse-Proxy verwendeten Apache-Webservers satt auf die lokale SSD lieber auf einen NFS-Share zu legen.
Gesagt - getan.

    CustomLog "| /usr/sbin/rotatelogs /logs/172.16.0.1/httpd/wiki_revProxy.access_log_%Y%m%d 86400"   common
    CustomLog "| /usr/sbin/rotatelogs  /logs/172.16.0.1/httpd/wiki_revProxy.referrer_log_%Y%m%d86400"  referrer
    ErrorLog  "| /usr/sbin/rotatelogs /logs/172.16.0.1/httpd/wiki_revProxy.error_log_%Y%m%d 86400"

Gescheitert.

Uli Horn > 2018/02/07 > SELinux ... aarrghhhh > image2018-2-7_10-27-24.png

AH00106: piped log program ' /usr/sbin/rotatelogs ... ' failed unexpectedly. Could not open log file '/logs/172.16.0.1/... ' (Permission denied)

Unexpectedly - das sagt´s.

Na dann schaun mer mal:

Google bemüht. Nix brauchbares.
Andere Configs gecheckt - nix brauchbares.
geärgert.
sich ergeben: "Na dann alles zurück - so wichtig ist´s nun auch nicht."

Okay - Dann also: "Kommando zurück. (obwohl da ja wohl nicht wahr sein kann...)":

Apache gestoppt.
Neues (altes) Verzeichnis als /var/log/httpd angelegt
Alle Links zurück-gedreht, Config für´s Logging zurückgeändert
Apache gestartet.... und
NIX war´s. Gleiche Fehlermeldung - nur jetzt auch lokal. Apache schmiert mir das error.log zu, obwohl das alles schön geordnet in separate Files gehen sollte. stattdessen AH00106... (s.o.).
Und jetzt die Krönung: Natürlich nur die CustomLogs (die per logrotate) - mit den nativen apache-logs gibt´s kein Problem!. Vorher haben die Custom-Logs genau hier funktioniert - jetzt nicht mehr. Grrmpf.
Okay: Config nochmals gecheckt. Offene Files gecheckt. Sicherheitshalber rebootet - NIX!!!
Irgendwann schwante es mir: CentOS - da läuft doch evtl. von Hause aus SELinux! – RRRICHTIG!

Also: Centos mal gegoogelt: (1): "rotatelogs not work for httpd log" und dann (2): "https://wiki.centos.org/HowTos/SELinux" (ich hab da nicht wirklich viel Ahnung (bisher) von) und hab dann nach kurzer Überlegung mal den Status von SELinux auf dem System geprüft...

Uli Horn > 2018/02/07 > SELinux ... aarrghhhh > image2018-2-7_10-48-1.png

... und - sieheda - scharf geschaltet !!!

Mit Hilfe von "https://www.centos.org/docs/5/html/5.1/Deployment_Guide/sec-sel-enable-disable.html" hab ich jetzt das Sytem auf "Monitoring" geschaltet.

Uli Horn > 2018/02/07 > SELinux ... aarrghhhh > image2018-2-7_10-49-33.png

... Surprise - ES FUNKTIONIERT -

Wieder was für die Rubrik: "Lernern durch Schmerz"