umc-server startet nicht mit SELinux: PermissionError während chown in DEBUG_INIT
umc-server
startet nach erfolgreichem Abschluss der Konfiguration nicht.
Logs des Containers:
Applying patch to support setting individual attributes to read-only in self-service
/entrypoint.sh: Configuration complete; ready for start up
20.03.24 16:36:05.226 DEBUG_INIT
Traceback (most recent call last):
File "/usr/sbin/univention-management-console-server", line 11, in <module>
load_entry_point('univention-management-console==12.0.32.post4', 'console_scripts', 'univention-management-console-server')()
File "/usr/lib/python3/dist-packages/univention/management/console/server.py", line 273, in main
Server().run()
File "/usr/lib/python3/dist-packages/univention/management/console/server.py", line 151, in __init__
log_init(self.options.log_file, self.options.debug, self.options.processes > 1)
File "/usr/lib/python3/dist-packages/univention/management/console/log.py", line 84, in log_init
os.fchown(fd.fileno(), 0, adm.gr_gid)
PermissionError: [Errno 13] Permission denied
- Kubernetes ist RKE2 von Rancher,
v1.26.14+rke2r1
-
opendesk
in Versionv0.5.80
-
helmfile/environments/dev/values.yaml.gotmpl
ist relativ unspektakulär:
global:
helmRegistry: "mirror.example.com"
domain: "opendesk.example.com"
certificate:
issuerRef:
name: "MeinClusterIssuer"
istio:
enabled: false
oxAppsuite:
enabled: false
Hier gibt es offenbar eine Interaktion mit selinux, wenn das auf dem Host aktiv ist, wird der chwon von dort blockiert. Nach setenforce 0
startet der Container. Sollte vermutlich zumindest irgendwo dokumentiert werden.
type=AVC msg=audit(1711026327.879:2662): avc: denied { setattr } for pid=2088603 comm="/usr/bin/python" name="" dev="pipefs" ino=13497940 scontext=system_u:system_r:container_t:s0:c243,c396 tcontext=system_u:system_r:container_runtime_t:s0 tclass=fifo_file permissive=0
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
Edited by OC000035728663 anonym