Hallo,
Ich habe bei mir mal die 18 installiert um zu sehen was es neues gibt leider funktioniert das ganze nur mit abgeschaltetem SELINUX, denn der documentenserver greift da anscheinend direkt auf den Kernel zu?
Hat da jemand schon funktionierende Regeln für Selinux denn ich möchte es eigentlich nicht abschalten
Gruß Günther
Hallo,
bei meiner Instanz (Fedora 31) hatte ich auch Probleme mit dem SELinux. Mir hat folgendes geholfen, mit entsprechendem Pfad:
semanage fcontext -a -t httpd_sys_rw_content_t “<pfad_nextcloud>/apps/documentserver_community/3rdparty/onlyoffice/documentserver/server/FileConverter/bin(/.*)?”
Grüße
Hallo,
Danke für die Antwort aber… 
Das hatte ich schon drin aber viel rigoroser semanage fcontext -a -t httpd_sys_rw_content_t “<pfad_nextcloud>/apps(/.*)?
Ich bin jetzt auch auf 2 Sachen aufmeksam geworden auch wenn man die selben 2 CebtOS 7 installationen hat reagiert selinux anders :-(. bei dem einen Rechner musste ich explizite ein x2t module (ausearch…) angeben bei dem anderen nicht, damit ONLYOFFICE überhaupt startet.
Das ganze ist ein ziemliches “geflicke”, da ist dann schön langsam die Frage deinstalliere ich selinux ?
Leider findet man auch bei “Tante G…” nicht wirklich etwas und selinux ist mir einfach zu “hoch” um es zu verstehen
Grüße
Hallo,
das stimmt natürlich. Es sollte bereits durch die folgende Regel funktionieren
semanage fcontext -a -t httpd_sys_rw_content_t “<pfad_nextcloud>/apps(/.*)?”
Scheinbar fehlte bei mir die Übernahme der
https_sys_rw_content_t
für die DocumentServer App.
Dies hätte ein
restorecon -Rv ‘<pfad_nextcloud>/’
offensichtlich auch beheben können.
Leider scheint doch noch nicht alles zu funktionieren, sodass scheinbar noch ein paar regeln fehlen.
z.B.
ausearch -c ‘x2t’ --raw | audit2allow -M my-x2t
semodule -i my-x2t.pp
Wenn ich meine finale Lösung habe werde ich diese hier Posten, sodass diese vielleicht jemandem weiterhilft.
Die allgemeine Lösung SELinux zu deaktivieren halte ich nicht für eine geeignete Lösung. Denn bei Firewall Problemen deaktiviere ich diese ja auch nicht dauerhaft.
Wenn die beiden Apps installiert sind.
OnlyOffice
Community Document Server
Benötigt man mindestens die folgenden SELinux Reglen.
semanage fcontext -a -t httpd_sys_rw_content_t ‘<pfad_nextcloud>/apps(/.*)?’
restorecon -Rv ‘<pfad_nextcloud>/apps/’
semanage fcontext -a -t httpd_sys_rw_content_t ‘<pfad_nextcloud>/data(/.*)?’
restorecon -Rv ‘<pfad_nextcloud>/data/’
ausearch -c ‘x2t’ --raw | audit2allow -M my-x2t
semodule -i my-x2t.pp
Ja habe ich ach gemacht ;-), bei meinem zweiten Installation brauchte ich noch eine sd Regel, warum auch immer ??
ich hab, damals als ich den selinux … in meine playbooks eingebaut habe, mir hier “ideen” geholt.
selinux auf permissive stellen und dann mit audit2why und audit2allow schauen, warum selinux den zugriff verhindern würde.
ich hätte eher gesagt, dein webserver (oder ein andere prozess) greift irgendwohin, wo er nicht darf bzw. wo man es üblicherweise nicht erwarten würde. z.b schreibender zugriff außerhalb des web root.