<div dir="ltr"><div dir="ltr"><div>Hi Strahil,</div><div><br></div><div>Selinux policies and rules have to be added for gluster processes to work as intended when selinux is in enforced mode. Could you confirm if you&#39;ve installed the glusterfs-selinux package in the nodes ?</div><div>If not then you can check out the repo at <a href="https://github.com/gluster/glusterfs-selinux">https://github.com/gluster/glusterfs-selinux</a>.<br></div><div><br></div><div>Regards,</div><div>Srijan<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jan 6, 2021 at 2:15 AM Strahil Nikolov &lt;<a href="mailto:hunter86_bg@yahoo.com">hunter86_bg@yahoo.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Did anyone receive that e-mail ?<br>
Any hints ?<br>
<br>
Best Regards,<br>
Strahil Nikolov<br>
<br>
В 19:05 +0000 на 30.12.2020 (ср), Strahil Nikolov написа:<br>
&gt; Hello All,<br>
&gt; <br>
&gt; I have been testing Geo Replication on Gluster v 8.3 ontop CentOS<br>
&gt; 8.3.<br>
&gt; It seems that everything works untill SELINUX is added to the<br>
&gt; equasion.<br>
&gt; <br>
&gt; So far I have identified several issues on the Master Volume&#39;s nodes:<br>
&gt; - /usr/lib/ld-linux-x86-64.so.2 has a different SELINUX Context than<br>
&gt; the target that it is pointing to. For details check <br>
&gt; <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1911133" rel="noreferrer" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1911133</a><br>
&gt; <br>
&gt; - SELINUX prevents /usr/bin/ssh from search access to<br>
&gt; /var/lib/glusterd/geo-replication/secret.pem<br>
&gt; <br>
&gt; - SELinux is preventing /usr/bin/ssh from search access to .ssh<br>
&gt; <br>
&gt; - SELinux is preventing /usr/bin/ssh from search access to<br>
&gt; /tmp/gsyncd-aux-ssh-tnwpw5tx/274d5d142b02f84644d658beaf86edae.sock<br>
&gt; <br>
&gt; Note: Using &#39;semanage fcontext&#39; doesn&#39;t work due to the fact that<br>
&gt; files created are inheriting the SELINUX context of the parent dir<br>
&gt; and you need to restorecon after every file creation by the geo-<br>
&gt; replication process.<br>
&gt; <br>
&gt; - SELinux is preventing /usr/bin/rsync from search access on <br>
&gt; .gfid/00000000-0000-0000-0000-000000000001<br>
&gt; <br>
&gt; Obviously, those needs fixing before anyone is able to use Geo-<br>
&gt; Replication with SELINUX enabled on the &quot;master&quot; volume nodes.<br>
&gt; <br>
&gt; Should I open a bugzilla at <a href="http://bugzilla.redhat.com" rel="noreferrer" target="_blank">bugzilla.redhat.com</a> for the selinux<br>
&gt; policy?<br>
&gt; <br>
&gt; Further details:<br>
&gt; [root@glustera ~]# cat /etc/centos-release<br>
&gt; CentOS Linux release 8.3.2011<br>
&gt; <br>
&gt; [root@glustera ~]# rpm -qa | grep selinux | sort<br>
&gt; libselinux-2.9-4.el8_3.x86_64<br>
&gt; libselinux-utils-2.9-4.el8_3.x86_64<br>
&gt; python3-libselinux-2.9-4.el8_3.x86_64<br>
&gt; rpm-plugin-selinux-4.14.3-4.el8.x86_64<br>
&gt; selinux-policy-3.14.3-54.el8.noarch<br>
&gt; selinux-policy-devel-3.14.3-54.el8.noarch<br>
&gt; selinux-policy-doc-3.14.3-54.el8.noarch<br>
&gt; selinux-policy-targeted-3.14.3-54.el8.noarch<br>
&gt; <br>
&gt; [root@glustera ~]# rpm -qa | grep gluster | sort<br>
&gt; centos-release-gluster8-1.0-1.el8.noarch<br>
&gt; glusterfs-8.3-1.el8.x86_64<br>
&gt; glusterfs-cli-8.3-1.el8.x86_64<br>
&gt; glusterfs-client-xlators-8.3-1.el8.x86_64<br>
&gt; glusterfs-fuse-8.3-1.el8.x86_64<br>
&gt; glusterfs-geo-replication-8.3-1.el8.x86_64<br>
&gt; glusterfs-server-8.3-1.el8.x86_64<br>
&gt; libglusterd0-8.3-1.el8.x86_64<br>
&gt; libglusterfs0-8.3-1.el8.x86_64<br>
&gt; python3-gluster-8.3-1.el8.x86_64<br>
&gt; <br>
&gt; <br>
&gt; [root@glustera ~]# gluster volume info primary<br>
&gt;  <br>
&gt; Volume Name: primary<br>
&gt; Type: Distributed-Replicate<br>
&gt; Volume ID: 89903ca4-9817-4c6f-99de-5fb3e6fd10e7<br>
&gt; Status: Started<br>
&gt; Snapshot Count: 0<br>
&gt; Number of Bricks: 5 x 3 = 15<br>
&gt; Transport-type: tcp<br>
&gt; Bricks:<br>
&gt; Brick1: glustera:/bricks/brick-a1/brick<br>
&gt; Brick2: glusterb:/bricks/brick-b1/brick<br>
&gt; Brick3: glusterc:/bricks/brick-c1/brick<br>
&gt; Brick4: glustera:/bricks/brick-a2/brick<br>
&gt; Brick5: glusterb:/bricks/brick-b2/brick<br>
&gt; Brick6: glusterc:/bricks/brick-c2/brick<br>
&gt; Brick7: glustera:/bricks/brick-a3/brick<br>
&gt; Brick8: glusterb:/bricks/brick-b3/brick<br>
&gt; Brick9: glusterc:/bricks/brick-c3/brick<br>
&gt; Brick10: glustera:/bricks/brick-a4/brick<br>
&gt; Brick11: glusterb:/bricks/brick-b4/brick<br>
&gt; Brick12: glusterc:/bricks/brick-c4/brick<br>
&gt; Brick13: glustera:/bricks/brick-a5/brick<br>
&gt; Brick14: glusterb:/bricks/brick-b5/brick<br>
&gt; Brick15: glusterc:/bricks/brick-c5/brick<br>
&gt; Options Reconfigured:<br>
&gt; changelog.changelog: on<br>
&gt; geo-replication.ignore-pid-check: on<br>
&gt; geo-replication.indexing: on<br>
&gt; storage.fips-mode-rchecksum: on<br>
&gt; transport.address-family: inet<br>
&gt; nfs.disable: on<br>
&gt; performance.client-io-threads: off<br>
&gt; cluster.enable-shared-storage: enable<br>
&gt; <br>
&gt; I&#39;m attaching the audit log and sealert analysis from glustera (one<br>
&gt; of the 3 nodes consisting of the &#39;master&#39; volume).<br>
&gt; <br>
&gt; <br>
&gt; Best Regards,<br>
&gt; Strahil Nikolov<br>
&gt; <br>
<br>
-------<br>
<br>
Community Meeting Calendar:<br>
Schedule -<br>
Every 2nd and 4th Tuesday at 14:30 IST / 09:00 UTC<br>
Bridge: <a href="https://meet.google.com/cpu-eiue-hvk" rel="noreferrer" target="_blank">https://meet.google.com/cpu-eiue-hvk</a><br>
<br>
Gluster-devel mailing list<br>
<a href="mailto:Gluster-devel@gluster.org" target="_blank">Gluster-devel@gluster.org</a><br>
<a href="https://lists.gluster.org/mailman/listinfo/gluster-devel" rel="noreferrer" target="_blank">https://lists.gluster.org/mailman/listinfo/gluster-devel</a><br>
<br>
</blockquote></div></div>