SELinux

From MediaWiki.org
Jump to navigation Jump to search
This page is a translated version of the page SELinux and the translation is 100% complete.

Other languages:
English • ‎français • ‎日本語
Cette page explique comment configurer correctement les contextes SELinux[1] et les booléens de sorte à ce que votre serveur web (probablement Apache) puisse les accéder. Par ailleurs, vous pouvez désactivez SELinux pour httpd seulement, en utilisant l'une des commandes suivantes, pour contourner les problèmes durant le développement :
  • setsebool -P httpd_disable_trans false
  • semodule -r httpd
  • semanage permissive -a httpd_t

Vous devez déterminer laquelle de ces lignes de commande est à utiliser en fonction de la configuration de votre système.

Dans tous les cas, vous devez exécuter les commandes en tant qu'utilisateur root.

Pour installer MediaWiki sur un système exécutant SELinux exécutez les étapes suivantes supplémentaires :

chcon -R -t httpd_user_content_t /path/to/mediawiki_install

Après avoir construit l'extension fileinfo PHP :

chcon -t httpd_sys_script_exec_t  /usr/lib/php/modules/fileinfo.so

Tout fichier supplémentaire exécuté par Apache avec 'exec()' doit être httpd_user_script_exec_t (fichiers PHP non compris). Les fichiers qui sont httpd_*_script_exec_t peuvent ne pas être écrits par le processus Apache. Idéalement les fichiers (PHP) MediaWiki exécutables doivent tous être initialisés httpd_user_script_exec_t mais cela n'est pas obligatoire dans les règles actuelles de SELinux.

Répertoires de téléversement

Si les téléversements sont autorisés dans votre configuration, vous pouvez rencontrer un problème de contexte à cause du répertoire tmp utilisé pendant le processus de téléversement de fichiers. Vous pouvez contourner ce problème en créant un répertoire tmp dans /var/www/ au lieu d'utiliser /tmp ou le 'répertoire par défaut' pour upload_tmp_dir dans /etc/php.ini . Assurez-vous de bien passer les commandes chmod chgrp et chcon sur ce nouveau répertoire tmp .

Téléverser des images

Si les répertoires MediaWiki étaient copiés ou déplacés pour migrer d'un ancien système vers un autre qui a activé SELinux (forçage) alors les fichiers copiés/déplacés et les répertoires pourraient ne pas avoir les types corrects de contextes SELinux. Si c'est le cas, les téléversements d'images et la création de vignettes peuvent être empêchées par SELinux même si le propriétaire et les droits sont déja définis correctement. Le fichier script includes/GlobalFunctions.php (et éventuellement d'autres fichiers .php du répertoire d'installation de MediaWiki) doivent avoir le type de contexte SELinux httpd_sys_script_exec_t pour permettre l'utilisation de la commande PHP function.mkdir . Sans le type de contexte correct pour les scripts, les téléversements de fichiers ou la création de vignettes peuvent échouer en essayant de créer un répertoire sur le serveur via le hachage. A partir de la racine du répertoire d'installation du wiki, vérifiez le contexte SELinux correct en saisissant la commande :

ls -Z includes/GlobalFunctions.php

Si le type de contexte sécuritaire SELinux listé n'est pas httpd_sys_script_exec_t, modifiez le avec la commande :

chcon -t httpd_sys_script_exec_t includes/GlobalFunctions.php

En supposant que les autorisations (755) et que l'utilisateur (habituellement 'apache') du répertoire des images sont corrects, toute l'arborescence du répertoire des images doit avoir le type de contexte SELinux httpd_sys_script_rw_t afin que les scripts (fichiers .php) qui s'exécutent dans le processus du serveur web aient un accès autorisé en lecture/écriture. Vérifiez cela avec la commande :

ls -dZ images

Si le type de contexte sécuritaire SELinux listé n'est pas httpd_user_rw_content_t, modifiez le avec la commande :

chcon -R -t httpd_user_rw_content_t images

La génération des vignettes peut échouer avec des messages d'erreurs tels que ulimit: cpu time/virtual memory/file size: cannot modify limit: Permission denied. Pour autoriser cela vous devez activer httpd_setrlimit :

setsebool -P httpd_setrlimit 1

Deboguer les journaux de connexion

Si vous voulez enregistrer les traces wfDebug() de MediaWiki dans un fichier, et que vous avez suivi scrupuleusement la page Comment déboguer mais que rien ne s'inscrit dans votre fichier journal, il est possible que vous deviez initialiser le contexte SELinux du fichier de trace à httpd_sys_script_rw_t en utilisant la commande suivante :

chcon -t httpd_sys_script_rw_t /path/to/your/debug/file

Activer InstantCommons

Si vous voulez activer la fonctionalité InstantCommons sur votre wiki, et que votre système implémente SElinux, vous devez d'abord dire à Selinux d'autoriser que les scripts HTTPD et que les modules puissent se connecter au réseau. Pour cela, saisissez la commande suivante :

getsebool -a

Regardez la valeur du booléen : httpd_can_network_connect. S'il vaut déjà on, il n'y a rien à faire, Selinux ne va pas empêcher les scripts HTTPD et les modules de se connecter au réseau. Néanmoins, s'il vaut off, saisissez la ligne de commande suivante pour l'activer de manière permanente :

setsebool -P httpd_can_network_connect on


L'option -P signifie de manière permanente. Si vous ne l'utilisez pas, la valeur du booléen sera réinitialisée lors du prochain redémarrage de votre système.

C'est cela. Assurez-vous que la modification a bien été implémentée en exécutant getsebool -a une fois de plus, et en vérifiant que la valeur a été mise à jour correctement. Si c'est le cas, vous pouvez maintenant activer InstantCommons avec succès.

Envoyer des courriels

Les courriels de MediaWiki peuvent ne pas fonctionner du tout, ou vous pouvez obtenir Unknown error sur des actions concernant le courriel. Vous devez autoriser l'envoi des courriels par le serveur web. La commande suivante peut activer cela :

setsebool -P httpd_can_sendmail on

Pygments pour SyntaxHighlight

Cette section est discutée sur la Page de discussion.

Extension:SyntaxHighlight utilise une bibliothèque appelée pygments qui fournit la mise en surbrillance de la syntaxe. Si la mise en évidence de la syntaxe ne fonctionne pas, vérifiez les droits d'exécution sur le répertoire pygments :

semanage fcontext -a -t httpd_sys_script_exec_t '/<path_to_mediawiki>/extensions/SyntaxHighlight_GeSHi/pygments(/.*)?'
restorecon -R -v /<path_to_mediawiki>/extensions/SyntaxHighlight_GeSHi/pygments/


Autres trucs pratiques de SELinux

Pour découvrir si SELinux est activé sur votre système :

getenforce

audit2allow est un script Perl qui interprète les erreurs SELinux et construit les bonnes règles pour résoudre différents problèmes.

/usr/bin/audit2allow -i /var/log/messages

Il fournit les lignes à ajouter à vos règles pour autoriser les actions qui ont échoué.

Dans /var/log/messages vous devriez trouver un ID correspondant à l'erreur SELinux qui est apparue.

sealert -l <id>

donnera davantage d'informations. Une source possible d'erreur est que vous avez copié les fichiers d'installation décompressés d'un répertoire racine (home) vers une zone système invalidant par là leur contexte de sécurité. Ceci peut être adressé par une commande telle que....

restorecon -R -v /var/www/html/mediawiki

Lorsque tout par ailleurs échoue, essayez ceci

man setenforce

Mise à jour des contextes de politique locale

Les modifications faites en utilisant chcon ne sont que temporaires, en ce qu'elles seront réécrasées par toute action ultérieure qui réétiqueterait les fichiers (par exemple restorecon, make relabel, etc). Pour éviter cela, vous pouvez ajouter des entrées contextuelles personnalisées à vos règles locales en utilisant l'utilitaire semanage. Ces entrées sont enregistrées dans un fichier séparé, file_contexts.local, qui ne fait pas partie des règles SELinux de base. Les entrées de ce fichier réécrasent toujours les entrées des règles de base.

Par exemple, les commandes suivantes vont labelliser vos fichiers wiki principaux comme httpd_user_content_t, vos scripts PHP comme http_user_script_exec_t, et votre répertoire d'images pour le téléversement comme httpd_user_script_rw_t :

semanage fcontext -a -t httpd_user_content_t '/path/to/mediawiki/install(/.*)?'
semanage fcontext -a -t httpd_user_script_exec_t '/path/to/mediawiki/install/.*\/php5?'
semanage fcontext -a -t httpd_user_script_exec_t '/path/to/mediawiki/install/includes/.*\.php5?'
semanage fcontext -a -t httpd_user_rw_content_t '/path/to/mediawiki/install/images(/.*)?'
semanage fcontext -a -t httpd_user_rw_content_t '/path/to/mediawiki/install/cache(/.*)?'

Après avoir exécuté ces commandes, vous pouvez vérifier vos modifications en exécutant :

restorecon -R -v /path/to/mediawiki/install

Références