Bonjour,
 
Dans l'optique de pouvoir par la suite reproduire la même mise en service sur un serveur de prod je me suis lancé dans l'installation + configuration d'un serveur web tournant sous Red Hat Entreprise 5. Je précise déjà que bien que j'utilise linux depuis environ 8 ans, je n'ai quasiment jamais touché à RedHat, et encore moins à la version entreprise. Le choix a été fait par l'école où je me trouve, je n'ai donc pas eu mon mot à dire.
Le serveur en question sera principalement utilisé pour héberger de petits sites Rails avec peu de hits et non critiques, c'est pour ça que je me suis lancé dans l'histoire (ça aurait été le serveur central, ça aurait pas été moi qui aurait été désigné pour la mise en service ).
 
Donc toute l'install et la configuration c'est bien passée. Sauf que si je met SELinux en mode "enforcing" Apache ne démarre pas à cause de Passenger. Si je le met en mode permissif tout démarre mais je me prend plein de Warnings dans le manager.
 
Voilà ce que je me prend dans le manager :  
 
http://paste2.org/p/385574
 
Et voilà ce que me donne apache dans le error_log :
 

 
Est-ce que vous voyez ce qui cloche?  
Là je suis en train de me taper la doc de SELinux mais vu la taille du machin ça va me prendre un certain temps et c'est même pas dit que je m'en sorte une fois fini
 
Merci bien

y'a une appli audit2log ou je sais plus quoi qui permet à partir des logs de sortir les règles selinux appropriées, ça devrait t'aider à démarrer

Merci,
Le soft s'appelle audit2allow en fait
 
Donc grâce à toi j'ai déjà réussi à corriger une des erreurs. En effet il bloquait en disant que Passenger cherchait à écrire dans une directory qui n'était pas à lui mais à moi (esox). En fait le soucis vient du fait que mon appli rails a été déployée avec mon username, et j'en était donc le propriétaire. Un coup de chown -R apache mon_site a déjà résolu ça.
 
Maintenant le problème "bloquant" semble être situé au niveau d'un socket auquel il arrive pas à se connecter. Je continue a investiguer. En tous cas merci

Bon, j'ai avancé.
 
Le truc du socket c'est résolu. En fait il a le droit de se connecter à ce socket. Le mieux est de lui dire de déplacer le socket en question dans un répértoire à lui tout seul et après de dire a SELinux que Apache est dans le même groupe que le dossier, et là ça joue.
 
Par contre par la suite je retombe sur un problème de tentative d'accès au home d'un user (/root). Là j'ai demandé sur le google group de Passenger et les dev investiguent, je vous tiens au courant.

tu peux pas virer le selinux ? c'est useless

Si je peux.
Tu peux m'expliquer pourquoi c'est useless? Parce que je trouve le principe chiant mais assez sécurisant

bah, si ton serveur web se fait rooter ce sera surement via une appli, à laquelle tu auras auparavant donné les droits de faire X ou Y donc ça changera pas grand chose

Oui mais si les droits données dans SELinux sont suffisamment restrictifs, ça peut quand même être pratique non?

Je suis assez d accord avec BL, je vois pas trop l intérêt de SELinux a part te faire chier ..., moi je l ai désactivé sur les quelques RHEL dont j arrive pas a me débarrasser

Bon je crois avoir trouvé la solution pour que ça marche.
Je voudrais pouvoir le vérifier en refaisant toute la démarche à partir de 0.
 
Vous savez comment on peut dire à SELinux de se ré-initialiser, histoire qu'il prenne juste les config "par défaut" ?