Hallo,
Ich habe bei mir mal die 18 installiert um zu sehen was es neues gibt leider funktioniert das ganze nur mit abgeschaltetem SELINUX, denn der documentenserver greift da anscheinend direkt auf den Kernel zu?
Hat da jemand schon funktionierende Regeln fĂŒr Selinux denn ich möchte es eigentlich nicht abschalten
GruĂ GĂŒnther
Hallo,
bei meiner Instanz (Fedora 31) hatte ich auch Probleme mit dem SELinux. Mir hat folgendes geholfen, mit entsprechendem Pfad:
semanage fcontext -a -t httpd_sys_rw_content_t â<pfad_nextcloud>/apps/documentserver_community/3rdparty/onlyoffice/documentserver/server/FileConverter/bin(/.*)?â
GrĂŒĂe
Hallo,
Danke fĂŒr die Antwort aber⊠
Das hatte ich schon drin aber viel rigoroser semanage fcontext -a -t httpd_sys_rw_content_t â<pfad_nextcloud>/apps(/.*)?
Ich bin jetzt auch auf 2 Sachen aufmeksam geworden auch wenn man die selben 2 CebtOS 7 installationen hat reagiert selinux anders :-(. bei dem einen Rechner musste ich explizite ein x2t module (ausearchâŠ) angeben bei dem anderen nicht, damit ONLYOFFICE ĂŒberhaupt startet.
Das ganze ist ein ziemliches âgeflickeâ, da ist dann schön langsam die Frage deinstalliere ich selinux ?
Leider findet man auch bei âTante GâŠâ nicht wirklich etwas und selinux ist mir einfach zu âhochâ um es zu verstehen
GrĂŒĂe
Hallo,
das stimmt natĂŒrlich. Es sollte bereits durch die folgende Regel funktionieren
semanage fcontext -a -t httpd_sys_rw_content_t â<pfad_nextcloud>/apps(/.*)?â
Scheinbar fehlte bei mir die Ăbernahme der
https_sys_rw_content_t
fĂŒr die DocumentServer App.
Dies hÀtte ein
restorecon -Rv â<pfad_nextcloud>/â
offensichtlich auch beheben können.
Leider scheint doch noch nicht alles zu funktionieren, sodass scheinbar noch ein paar regeln fehlen.
z.B.
ausearch -c âx2tâ --raw | audit2allow -M my-x2t
semodule -i my-x2t.pp
Wenn ich meine finale Lösung habe werde ich diese hier Posten, sodass diese vielleicht jemandem weiterhilft.
Die allgemeine Lösung SELinux zu deaktivieren halte ich nicht fĂŒr eine geeignete Lösung. Denn bei Firewall Problemen deaktiviere ich diese ja auch nicht dauerhaft.
Wenn die beiden Apps installiert sind.
OnlyOffice
Community Document Server
Benötigt man mindestens die folgenden SELinux Reglen.
semanage fcontext -a -t httpd_sys_rw_content_t â<pfad_nextcloud>/apps(/.*)?â
restorecon -Rv â<pfad_nextcloud>/apps/â
semanage fcontext -a -t httpd_sys_rw_content_t â<pfad_nextcloud>/data(/.*)?â
restorecon -Rv â<pfad_nextcloud>/data/â
ausearch -c âx2tâ --raw | audit2allow -M my-x2t
semodule -i my-x2t.pp
Ja habe ich ach gemacht ;-), bei meinem zweiten Installation brauchte ich noch eine sd Regel, warum auch immer ??
ich hab, damals als ich den selinux ⊠in meine playbooks eingebaut habe, mir hier âideenâ geholt.
selinux auf permissive stellen und dann mit audit2why und audit2allow schauen, warum selinux den zugriff verhindern wĂŒrde.
ich hĂ€tte eher gesagt, dein webserver (oder ein andere prozess) greift irgendwohin, wo er nicht darf bzw. wo man es ĂŒblicherweise nicht erwarten wĂŒrde. z.b schreibender zugriff auĂerhalb des web root.