Показать страницуСсылки сюдаНаверх Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно. ====== Активация и работа биллинга на SELinux ====== <alert type="warning">Данные модули selinux находятся в режиме теста</alert> <alert type="danger">Только для Centos 8 и версии биллинга от 3.05.01</alert> \\ Данные модули позволят работать билингу с включенным SELinux в режиме **enforcing** ====== Включение SELinux ====== \\ Установить базовый набор правил и утилиты для работы с SELinux: <code> yum install -y selinux-policy-targeted policycoreutils policycoreutils-python-utils </code> \\ Если SSH или NGINX используют нестандартные порт, их нужно разрешить выполнив: \\ Пример для для ssh с 2222 портом: <code>semanage port -a -t ssh_port_t -p tcp 2222</code> \\ Пример для NGINX с 4443 портом: <code>semanage port -a -t http_port_t -p tcp 4443</code> \\ Далее выбрать подходящий режим работы. \\ Рекомендуем для начала Permissive режим с дальнейшим переходом в Enforcing: ==== Enforcing ==== Режим по-умолчанию. При выборе этого режима все действия, которые каким-то образом нарушают текущую политику безопасности, будут блокироваться, а попытка нарушения будет зафиксирована в журнале. \\ В /etc/selinux/config изменить параметр [[https://ru.wikipedia.org/wiki/SELinux|SELINUX]] на: <code>SELINUX=enforcing</code> \\ После чего необходимо перезагрузить сервер для активации enforcing режима. ==== Permissive ==== В случае использования этого режима, информация о всех действиях, которые нарушают текущую политику безопасности, будут зафиксированы в журнале, но сами действия не будут заблокированы. </panel> Если возникнут проблемы при работе с enforcing, на время решения переключитесь в permissive режим: <code>SELINUX=permissive</code> \\ После чего необходимо перезагрузить сервер. ====== Установка модулей ====== \\ [[http://setup.2x.mikbill.pro/selinux.tar.gz|Скачать архив]] с модулями и распаковать его: <code> wget http://setup.2x.mikbill.pro/selinux.tar.gz tar xzf selinux.tar.gz cd selinux </code> И запустить установку модулей через Ansible: <code> ansible-playbook selinux.yml </code> ====== Отладка ====== \\ SELinux записывает логи своей работы в файл /var/log/audit/audit.log \\ Получить сообщения о блокировке действия можно по фильтру **denied**: <code>grep "denied" /var/log/audit/audit.log</code> ====== Обновление модулей ====== \\ Для обновления модуля, необходимо [[http://setup.2x.mikbill.pro/selinux/roles/selinux/files/|скачать]] его новую версию и загрузить в SELinux. \\ Пример модуль **mrtg_selinux**: <code>wget http://setup.2x.mikbill.pro/selinux/roles/selinux/files/mrtg_selinux.pp</code> \\ Выгружаем текущий модуль из SELinux <code>semodule -r mrtg_selinux</code> \\ Загружаем обновленный модуль <code>semodule -i mrtg_selinux.pp</code> \\ Доступные модули можно найти [[http://setup.2x.mikbill.pro/selinux/roles/selinux/files/|по ссылке]] а так же увидеть дату их последнего обновления. billing/howto/selinux.txt Последнее изменение: 3 лет назад — gudwin