Product SiteDocumentation Site

5.9.4. Многократное монтирование NFS

При многократном монтировании NFS от одного и того же источника эскортирования NFS, попытка перекрывания контекста SELinux для каждого экземпляра монтирования, результат следующих монтирований будет ошибкой. В следующем примере, представлен один источник экспорта NFS, /export, у которого два подкатолога, web/ и database/. Следующие команды пытаются выполнить два монтирования от одного NFS экспорта и переназначают контекст для каждого из них:
# mount server:/export/web /local/web -o\
context="system_u:object_r:httpd_sys_content_t:s0"

# mount server:/export/database /local/database -o\
context="system_u:object_r:mysqld_db_t:s0"
Вторая команда монтирования завершается с ошибкой и следующая запись журналируется в /var/log/messages:
kernel: SELinux: mount invalid.  Same superblock, different security settings for (dev 0:15, type nfs)
Для подключения нескольких монтирований одного NFS экспорта, с указанием разных контекстов для разных монтирований, используются опции -o nosharecache,context. В следующем примере множество монтирований одного NFS экспорта, с различными контекстами для каждого экземпляра монтирования (позволяющему доступ для одной службы к одному экземпляру монтирования):
# mount server:/export/web /local/web -o\
nosharecache,context="system_u:object_r:httpd_sys_content_t:s0"

# mount server:/export/database /local/database -o\
nosharecache,context="system_u:object_r:mysqld_db_t:s0"
В этом примере, server:/export/web монтируется локально к /local/web/, со всеми файлами помеченными типом httpd_sys_content_t, позволяющему получать доступ Apache HTTP Server. server:/export/database монтирован локально к /local/database, со всеми файлами помеченными типом mysqld_db_t, позволяющим получать доступ MySQL. Эти изменения типов не записываются на диск.

Важно

Опция nosharecache позволяет монтировать один и тот же подкатолог экспорта несколько раз с различными контекстами (например, монтировать /export/web несколько раз). Не монтируйте один и тот же подкаталог несколько раз с различными контекстами, так как это создаёт совмещение монтирований, где файлы доступны под двумя разными контекстами.