弔祖母 107/5/27
半載才逢外公薨
七天祖母加護中
時人不解祥和面
今日亡得駕鶴蹤
2018年5月3日 星期四
CentOS7 gdm 詭異死亡修復紀錄
107/05/03
上個月伺服器的 gdm 就離奇死亡了,推測是那次 yum repo 大爆炸好不容易修好後留下的後遺症
最後是參考這篇 https://bugs.launchpad.net/ubuntu/+source/gdm3/+bug/1737279
[org/gnome/desktop/session]
session-name='gdm-shell'
上個月伺服器的 gdm 就離奇死亡了,推測是那次 yum repo 大爆炸好不容易修好後留下的後遺症
當時找半天找不到問題,去 /etc/gdm3/custom.conf 把 debug 打開看半天也看不出所以然
結果錯誤訊息在 /var/log/gdm/:0-greeter.log
一直說找不到 gdm-shell.session
最後是參考這篇 https://bugs.launchpad.net/ubuntu/+source/gdm3/+bug/1737279
修改 /etc/dconf/db/gdm.d/00-upstream-settings
把
session-name='gdm-shell'
改成
[org/gnome/desktop/session]
session-name='gnome-login'
session-name='gnome-login'
然後
# dconf update
重新產生 cache 的 db 檔
最後重開 gdm
# systemctl restart gdm
# dconf update
重新產生 cache 的 db 檔
最後重開 gdm
# systemctl restart gdm
2018年4月9日 星期一
網頁伺服器撞上 SELinux
還是碰到了這個問題,筆記一下解法
來源:
https://superuser.com/questions/882594/permission-denied-because-search-permissions-are-missing-on-a-component-of-the-p
https://blog.lysender.com/2015/07/centos-7-selinux-php-apache-cannot-writeaccess-file-no-matter-what/
查詢 selinux 的攔截紀錄
更新,對於需要被 php 寫入的目錄:
來源:
https://superuser.com/questions/882594/permission-denied-because-search-permissions-are-missing-on-a-component-of-the-p
https://blog.lysender.com/2015/07/centos-7-selinux-php-apache-cannot-writeaccess-file-no-matter-what/
查詢 selinux 的攔截紀錄
/var/log/audit/audit.logtype=AVC msg=audit(1464350432.916:8222): avc: denied { getattr } for pid=17526 comm="httpd" path="/var/www/app/index.html" dev="sda1" ino=42021595 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file
type=SYSCALL msg=audit(1464350432.916:8222): arch=c000003e syscall=4 success=no exit=-13 a0=7fde4e450d40 a1=7ffd05e79640 a2=7ffd05e79640 a3=7fde42e43792 items=0 ppid=17524 pid=17526 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)
chcon --user system_u --type httpd_sys_content_t -Rv /your/html/pathls -laZ /var/www/drwxr-xr-x. server server system_u:object_r:httpd_sys_content_t:s0 .
drwxr-xr-x. root root system_u:object_r:var_t:s0 ..
drwxr-xr-x. server server system_u:object_r:httpd_sys_script_exec_t:s0 cgi-bin
drwxr-xr-x. server server system_u:object_r:httpd_sys_content_t:s0 html
drwxrwxr-x. server server unconfined_u:object_r:var_t:s0 app更新,對於需要被 php 寫入的目錄:
# Allow write only to specific dirs
chcon -t httpd_sys_rw_content_t -R your/html/path
httpd_unified 沒開的話似乎會分的更細,才會需要上面對寫入的處理,設定起來更麻煩,開起來以後只要通通給 httpd_sys_content_t ,網頁伺服器就可以完全存取了
否則你還會需要設定 httpd_sys_script_exec_t... 等權限種類,一種用途就多一個設定
113/1/25 追記 php 使用 curl 外聯被檔
最近把一個站移植到別地方想做測試站,結果所有 curl 要求都拿到空白,http code 拿到 0 ;有些是 curl 有當作 error , curl_errno($ch) 拿到 7 但是 curl_error($ch) 卻完全空白。
但這時候用指令直接執行 curl 卻又能正常取得內容。
結果找到最後也是 selinux 的問題,因為他有個設定值能阻擋網頁伺服器對外連線:
httpd_can_network_connect
查詢設定值:
# getsebool httpd_can_network_connect
若顯示 off 就表示被設成阻擋。
改成開啟,允許對外連線:
# setsebool -P httpd_can_network_connect on
打開後終於可以收到東西了。
參考:
https://stackoverflow.com/questions/50807700/apache-cannot-make-outgoing-http-requests-using-curl
訂閱:
文章 (Atom)