Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment désactiver SELinux pour Httpd uniquement ?

cx42net

Bonjour à tous,

j'essaye de désactiver SELinux pour Httpd uniquement (car il est horriblement ... anti productif (pour rester poli)), et malgré des bons articles type :
http://www.cyberciti.biz/faq/howto-disable-httpd-selinux-security-protection/

qui conseillent d'éditer:

/etc/selinux/targeted/booleans

pour mettre httpd_disable_trans à 1, ca ne marche pas, les booleans ont l'air d'avoir été déplacés ou n'existent plus (?!?).

Ils conseillent aussi de faire cette commande:

setsebool httpd_disable_trans 1

Mais j'ai une erreur :

Could not change active booleans: Invalid boolean

Du coup, ils conseillent alors d'utiliser l'outil system-config-securitylevel, mais ah, pareil, yapa...

Y-a-t-il un moyen de désactiver SELinux pour Httpd uniquement? ou est-ce que je vais devoir le faire taire complètement?

Merci pour votre aide! 🙂

cx42net

bon, pour faire un petit up et peut-être aider ceux qui auront plus de chances que moi, j'ai trouvé cette commande :

semanage permissive -a httpd_t

qui semble correspondre parfaitement, SAUF que ca marche pas ... (yay SeLinux, tu m'aide à perdre du temps)

libsepol.load_booleans: unknown boolean httpd_disable_trans
libsepol.sepol_genbools: error while reading /etc/selinux/targeted/booleans

Fil Rouge

Sur http://fedoraproject.org/wiki/SELinux/apache (ou le man httpd_selinux)

il préconise :

setsebool -P httpd_disable_trans 1
service httpd restart

Étonnant que ta commande ne marche pas. Je ne suis pas un pro en SeLinux qui a tendance a plus m'ennuyer qu'autre chose (puis mon poste n'est pas très "sensible" donc SeLinux fait un peu lourd).

Essai :

$ getsebool -a | grep httpd
ou
# semanage boolean -l | grep httpd

(c'est soit en root soit en user, je sais plus.)
Tu auras la liste des booléens en rapport à httpd. On verra si "httpd_disable_trans" y est !

EDIT : Si tu n'avais pas vu (comme moi 😃 ), la doc présente ce document :
http://doc.fedora-fr.org/wiki/SELinux#Les_bool.C3.A9ens
Tout y est, même l'interface GUI si la ligne de commande te fatigue.