Запуская ранее описанный скрипт, копирующий файлы rsync’ом,
опять встретил загадочные грабельки..
С большинства серверов всё нормально копировалось, а с трёх почему-то
failed: Permission denied (13) ..
Хотя на всех серверах доступ к /var/log/ сконфигурирован одинаково:
[varlog]
uid = root
gid = root
path = /var/log
hosts allow = IP-адрес клиентского хоста
но вот почему-то Permission denied..
Попробовал rsync --list-only server-name::varlog/ , так увиделась ещё более странная фигня: некоторые файлы и директории видны, а большинство таки нет. Хотя практически у всех них пользователь и группа root:root, но по-любому root должен видеть всё, ан нет:
rsync: readlink_stat("/audit" (in varlog)) failed: Permission denied (13)
rsync: readlink_stat("/haproxy.log" (in varlog)) failed: Permission denied (13)
...
drwxr-xr-x 4096 2018/06/22 09:10:47 .
-rw-r--r-- 98995 2018/06/22 11:54:16 rsyncd.log
drwxrwxr-x 6 2017/12/14 11:54:25 bareos
drwxr-xr-x 8192 2018/06/22 09:06:56 clamav
Оказалось, это уродский selinux. Попробовал вытащить всё запрещённое из лога и разрешить, а опять грабельки:
# grep ‘denied.*rsync’ /var/log/audit/audit.log | audit2allow -M rsync
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i rsync.pp
# semodule -i rsync.pp
libsemanage.semanage_direct_install_info: Overriding rsync module at lower priority 100 with module at priority 400.
Failed to resolve typeattributeset statement at /etc/selinux/targeted/tmp/modules/400/rsync/cil:9
semodule: Failed!
И только setsebool -P rsync_full_access 1 сработал на всех трёх серверах.
Оригинал этой записи в личном блоге.
(
| Комментировать в Dreamwidth)