ソフトウェアエンジニアリング

リモートからのhttpプロトコルでの git push は、apache web server（httpd）プロセスが実行するので、httpdプロセスのタイプとgit アクセス先のディレクトリ・ファイル（/var/lib/git以下）のSELinux設定が影響している。

httpdプロセス

system_u:system_r:httpd_t:s0    apache    572438  0.0  1.0 561860 21396 ?        Sl   09:24   0:02 /usr/sbin/httpd -DFOREGROUND

$ ls -Z /var/lib/git
unconfined_u:object_r:git_rw_content_t:s0 swe.primus.git

sesearch で、httpd_t タイプから git_rw_content_t へのアクセスで許可されているのは

allow httpd_t git_rw_content_t:dir { add_name getattr ioctl lock open read remove_name search write }; [ httpd_builtin_scripting ]:True

allow httpd_t git_rw_content_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ httpd_builtin_scripting ]:True

CentOS 7でapache経由のgitサーバーを構築 に記載のSELinux設定をしていると、
/var/lib/git のコンテキストは、httpd_var_lib_tになるはず。なので、おそらく、CentOS 7からRocky Linux 8へ変更したときにSELinux設定が戻ってしまったのが原因と推定。

処置は、上述Wikiページ記載の通り。

~$ sudo semanage fcontext -a -t httpd_var_lib_t '/var/lib/git(/.*)?'
File context for /var/lib/git(/.*)? already defined, modifying instead
~$ sudo semanage fcontext -a -t httpd_sys_script_exec_t '/var/lib/git/[^/]+/hooks(/.*)?'
File context for /var/lib/git/[^/]+/hooks(/.*)? already defined, modifying instead
~$ sudo restorecon -v -R /var/lib/git
Relabeled /var/lib/git from unconfined_u:object_r:git_rw_content_t:s0 to unconfined_u:object_r:httpd_var_lib_t:s0
  :

新たにリポジトリからcloneを実施したところ、エラーとなるようになった。

work$ git clone http://www.torutk.com/git/swe.primus swe.primus.trial.1
Cloning into 'swe.primus.trial.1'...
warning: redirecting to https://www.torutk.com/git/swe.primus/
fatal: expected flush after ref listing

このとき、SELinuxのエラーは発生している。

type=SYSCALL msg=audit(1742948235.482:232586): arch=c000003e syscall=9 success=no exit=-13 a0=0 a1=5504 a2=1 a3=2 items=0 ppid=607147 pid=607148 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="git" exe="/usr/bin/git" subj=system_u:system_r:httpd_t:s0 key=(null)
type=AVC msg=audit(1742948235.482:232586): avc:  denied  { map } for  pid=607148 comm="git" path="/var/lib/git/swe.primus.git/objects/pack/pack-ba2976612c233b683714126c6161cee998c36630.idx" dev="vda4" ino=269934671 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_var_lib_t:s0 tclass=file permissive=0

httpdからのgitアクセスでSELinuxログに記録されたエラーから、許可ポリシーを生成してみた。

~$ sudo ausearch -m avc -ts today|audit2allow

#============= httpd_t ==============

#!!!! This avc can be allowed using the boolean 'domain_can_mmap_files'
allow httpd_t httpd_var_lib_t:file map;

ブール値 domain_can_mmap_files をonにするとよいとのメッセージが出た。

ブール値を確認してみたところ、

~$ sudo semanage boolean -l|grep domain_can_mmap
domain_can_mmap_files          (オフ   ,   オフ)  Allow domain to can mmap files

と設定がoffになっていたので、これをonにする

sudo semanage boolean --modify --on domain_can_mmap_files

git cloneで無事ローカルにリポジトリが展開できた。