/u/36659/crop65f402601bb24_cropped.png?f=community)
Hallo,
Op een webserver welke een paar Magento webshops draait zie ik een enorme lading aan messages voorbij komen in de /var/log/messages. Een snippet:
Al snel bleken dit messages van SELinux te zijn. Hierover is genoeg te vinden op het net. Het heeft bijvoorbeeld wat weg van [centOS 5.2] httpd permissions.
Wat ik alleen compleet niet kan thuisbrengen, en waar ik ook niks over kan vinden, is het name="?" stukje. De ? is iedere keer maar 1 karakter.
Ik zie dus dat httpd dus ergens iets wil schrijven maar dit niet mag. Wat, waar of waarom krijg ik hier niet uit afgeleid. Heeft iemand enig idee wat selinux me hier probeert te vertellen?
Wat extra info:
Op een webserver welke een paar Magento webshops draait zie ik een enorme lading aan messages voorbij komen in de /var/log/messages. Een snippet:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| Dec 3 18:02:07 s05 kernel: printk: 195 messages suppressed.
Dec 3 18:02:07 s05 kernel: type=1400 audit(1291395727.240:509839): avc: denied { write } for pid=14397 comm="httpd" name="d" dev=dm-0 ino=1933549 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:07 s05 kernel: type=1400 audit(1291395727.261:509840): avc: denied { write } for pid=14397 comm="httpd" name="b" dev=dm-0 ino=1933564 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:13 s05 kernel: printk: 189 messages suppressed.
Dec 3 18:02:13 s05 kernel: type=1400 audit(1291395733.048:509904): avc: denied { write } for pid=4572 comm="httpd" name="6" dev=dm-0 ino=1933423 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:17 s05 kernel: printk: 111 messages suppressed.
Dec 3 18:02:17 s05 kernel: type=1400 audit(1291395737.997:509942): avc: denied { write } for pid=14391 comm="httpd" name="d" dev=dm-0 ino=1933549 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:22 s05 kernel: printk: 45 messages suppressed.
Dec 3 18:02:22 s05 kernel: type=1400 audit(1291395742.478:509958): avc: denied { write } for pid=13211 comm="httpd" name="9" dev=dm-0 ino=1933545 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:28 s05 kernel: printk: 54 messages suppressed.
Dec 3 18:02:28 s05 kernel: type=1400 audit(1291395748.640:509977): avc: denied { write } for pid=13403 comm="httpd" name="d" dev=dm-0 ino=1933549 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:37 s05 kernel: printk: 39 messages suppressed.
Dec 3 18:02:37 s05 kernel: type=1400 audit(1291395757.028:509991): avc: denied { write } for pid=13216 comm="httpd" name="4" dev=dm-0 ino=1933506 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:40 s05 kernel: type=1400 audit(1291395760.997:509992): avc: denied { write } for pid=14389 comm="httpd" name="d" dev=dm-0 ino=1933549 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:46 s05 kernel: printk: 21 messages suppressed.
Dec 3 18:02:46 s05 kernel: type=1400 audit(1291395766.168:510000): avc: denied { write } for pid=13216 comm="httpd" name="d" dev=dm-0 ino=1933549 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir
Dec 3 18:02:51 s05 kernel: printk: 18 messages suppressed.
Dec 3 18:02:51 s05 kernel: type=1400 audit(1291395771.433:510007): avc: denied { write } for pid=13216 comm="httpd" name="4" dev=dm-0 ino=1933506 scontext=system_u:system_r:httpd_t:s0 tcontext=root:object_r:var_t:s0 tclass=dir |
Al snel bleken dit messages van SELinux te zijn. Hierover is genoeg te vinden op het net. Het heeft bijvoorbeeld wat weg van [centOS 5.2] httpd permissions.
Wat ik alleen compleet niet kan thuisbrengen, en waar ik ook niks over kan vinden, is het name="?" stukje. De ? is iedere keer maar 1 karakter.
Ik zie dus dat httpd dus ergens iets wil schrijven maar dit niet mag. Wat, waar of waarom krijg ik hier niet uit afgeleid. Heeft iemand enig idee wat selinux me hier probeert te vertellen?
Wat extra info:
- De messages lijken sterk simultaan te komen met normale webhits en lijken dus gekoppeld te zijn aan een normale werking van de webserver.
- De ene variabele karakter in name="?" lijkt altijd uit een enkel karakter uit een hex-waarde te komen. Oftewel, 1 - 9 en A - F.
- Er worden aardig wat messages 'supressed', dus het komt zo te zien vele malen voor per webhit. Het log process gebruikt ook meer dan gebruikelijk cpu resources door deze onzin.
- De server draait dus voornamelijk Magento shops.... een hel voor iedere zelfs fatsoenlijke server. Misschien dat Magento nog iets raars aan het doen is. Op het web heb ik echter geen significante correlatie kunnen vinden. (selinux issues komen voor icm magento, maar ook met zo'n beetje al het andere.)
- Hardware info lijkt me niet zo relevant dus laat ik even achterwege. Het ding draait in ieder geval wel in een VM. Info over de distro geef ik je graag, maar geef even aan hoe/waar ik het kan vinden. Ben nog niet zo'n linux console held
You are the all-dancing, all-singing crap of the world - Jack
Mocht je het een en ander echt willen debuggen dan kan je hier o.a de nodige info vinden: