<div dir="ltr"><br><div>Can you collect any AVC messages from /var/log/audit/audit.log or /var/log/messsages, or dmesg on the host that would only boot after setting enforcing=0?</div><div><br></div><div>Thanks</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Nov 23, 2020 at 7:55 AM Kaleb Keithley <<a href="mailto:kkeithle@redhat.com">kkeithle@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Nov 21, 2020 at 4:48 PM Strahil Nikolov <<a href="mailto:hunter86_bg@yahoo.com" target="_blank">hunter86_bg@yahoo.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi All,<br>
<br>
I have been testing EL8 + NFS Ganesha 3 (from CentOS Storage SIG) and Gluster v8 (tested both Storage SIG rpms and built from source ) and I have noticed a bug in the SELINUX policy causing the system to fail to boot after the node is fenced until a kernel parameter 'enforcing=0' is passed.<br>
<br>
The reason seems to be the link "/var/lib/nfs" pointing to the shared storage.When the cluster software is stopped gracefully, no issues are observed,as the nfs_setup resource restores /var/lib/nfs .<br>
<br>
Should I open a bug to <a href="http://bugzilla.redhat.com" rel="noreferrer" target="_blank">bugzilla.redhat.com</a> or it's specific to CentOS only ?<br></blockquote><div><br></div><div>Off hand I don't think that's a bug in the nfs-ganesha-selinux package. I've asked the cluster (pacemaker, etc.) devs and the selinux devs what they think. You asked about opening a BZ in <a href="http://bugzilla.redhat.com" target="_blank">bugzilla.redhat.com</a>; but <a href="https://github.com/gluster/glusterfs/issues" target="_blank">https://github.com/gluster/glusterfs/issues</a> is the correct place to report gluster issues.</div><div><br></div><div>For this though I suggest opening an issue in <a href="https://github.com/ClusterLabs/" target="_blank">https://github.com/ClusterLabs/</a> somewhere, maybe <a href="https://github.com/ClusterLabs/fence-agents/issues?" target="_blank">https://github.com/ClusterLabs/fence-agents/issues?</a>? So it doesn't get lost.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
More details:<br>
[root@glustere ~]# rpm -qa | grep ganesha | sort<br>
centos-release-nfs-ganesha30-1.0-2.el8.noarch<br>
glusterfs-ganesha-8.2-0.5.git77eb5e838.el8.x86_64<br>
nfs-ganesha-3.3-2.el8.x86_64<br>
nfs-ganesha-gluster-3.3-2.el8.x86_64<br>
nfs-ganesha-selinux-3.3-2.el8.noarch<br>
<br>
[root@glustere ~]# dmesg | grep -e type=1300 -e type=1400<br>
[   14.414782] audit: type=1400 audit(1605994499.985:3): avc:  denied  { getattr } for  pid=1 comm="systemd" path="/var/lib/nfs" dev="dm-0" ino=33596932 scontext=system_u:system_r:init_t:s0 tcontext=system_u:object_r:var_lib_nfs_t:s0 tclass=lnk_file permissive=1<br>
<br>
[root@glustere ~]# dmesg | grep -e type=1300 -e type=1400 | audit2allow -M my-systemd<br>
******************** IMPORTANT ***********************<br>
To make this policy package active, execute:<br>
<br>
<br>
semodule -i my-systemd.pp<br>
<br>
<br>
[root@glustere ~]# cat my-systemd.te <br>
<br>
<br>
module my-systemd 1.0;<br>
<br>
<br>
require {<br>
        type var_lib_nfs_t;<br>
        type init_t;<br>
        class lnk_file getattr;<br>
}<br>
<br>
<br>
#============= init_t ==============<br>
allow init_t var_lib_nfs_t:lnk_file getattr;<br>
<br>
<br>
Best Regards,<br>
Strahil Nikolov<br>
<br>
</blockquote></div></div>
</blockquote></div>