Форум

Поставьте permissive и изучайте лог аудита. Копировать команды без понимания сути — гиблое дело.

[url=https://www.google.com/search?q=selinux+audit.log&oq=selinux+audit.log]selinux audit.log[/url]

[QUOTE]Дмитрий Трофимов написал:
Не смог разобраться только что такое 600 и зачем опция -о[/QUOTE]
600 — это id пользователя bitrix, чтобы создаваемые файлы были с нужными правами. Так как этот раздел форума по bitrixvm, то предполагается, что у вас всё настроено по умолчанию.
-o позволяет дать id существующего пользователя другому пользователю
[QUOTE]и подключать директорию с сайтом обязательно нужно через mount, через символьные ссылки например нельзя и почему?[/QUOTE]
У нас используют phpstorm, в нём каталоги-симлинки не работают. Это известный баг.
Если в вашем случае всё работает нормально с симлинками, то используйте.

fdisk -l показывает размер диска и разделов, а не свободное место.

Используйте df -h

[QUOTE]Александр Медведев написал:
open_basedir  не поможет?[/QUOTE]
Не проверял.

[QUOTE]Дмитрий Трофимов написал:
Существующий SFTP не подойдет для этой задачи?[/QUOTE]
Можно и с ним.

Редактируем /etc/ssh/sshd_config
[CODE]
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match Group sftp
ChrootDirectory /home/jail/
X11Forwarding no
AllowTcpForwarding no
[/CODE]

Добавляем пользователя
[CODE]
adduser userlogin -g600 -o -u600 -d /home/jail/[/CODE]
Добавляем группу для jail
[CODE]groupadd sftp[/CODE]
Добавляем пользователя в группу
[CODE]usermod -aG sftp userlogin[/CODE]
Изменяем права для jail на root
[CODE]chown root. /home/jail/[/CODE]

Создаём в /home/jail директорию для монтирования требуемого сайта.
Например  
[CODE]mkdir /home/jail/dev.site.tld
chown bitrix. /home/jail/dev.site.tld[/CODE]

Если требуемый сайт расположен в /home/bitrix/ext_www/dev.site.tld
То монтируем его в созданную директорию следующим образом.
[QUOTE]mount --bind /home/bitrix/ext_www/dev.site.tld /home/jail/dev.site.tld[/QUOTE]

Если нужно, чтобы это сохранялось после перезагрузки сервера, то добавляем в /etc/fstab
[CODE]/home/bitrix/ext_www/dev.site.tld /home/jail/dev.site.tld none bind 0 0[/CODE]

Перезагружаем sshd.
[CODE]systemctl reload sshd[/CODE]
Куда больше телодвижений, чем с ftp, результат тот же.
Проверялось на centos 7. Не помню есть ли такой функционал в openssh, который идет с centos 6.

Если требуется ещё и ssh доступ, то только настоящий jail настраивать, инструкций в сети полно.

Скрытый текст
Стоит рассмотреть переход на git и забыть про sftp. Использовать для деплоя соответствующие инструменты. (gitlab-ci/jenkins/teamcity и т.п.)

[QUOTE]Александр Медведев написал:
У меня CentOS минимал, думаю в нём вообще нет sftp сервера[/QUOTE]
sftp — это функционал стандартного openssh. Он есть в minimal.

[CODE]yum install proftpd[/CODE]

Добавить в /etc/proftpd.conf
[CODE]
RequireValidShell  off
AuthOrder mod_auth_file.c
AuthUserFile  /etc/proftpd/passwd
DefaultRoot ~
[/CODE]
комментируем существующие параметры AuthOrder и DefaultRoot


[CODE]mkdir -p /etc/proftpd/ && cd /etc/proftpd && wget http://www.castaglia.org/proftpd/contrib/ftpasswd && chmod 755 ftpasswd[/CODE]

Добавление пользователя для ftp chroot
--name=имя_пользователя
--home=путь_к_директории_сайта

[CODE]ftpasswd --passwd --file=/etc/proftpd/passwd --name=username --uid=600 --home=/home/bitrix/ext_www/some_folder --shell=/sbin/nologin
chmod 600 /etc/proftpd/passwd
[/CODE]

[CODE]firewall-cmd --add-service=ftp --permanent && firewall-cmd --reload
systemctl start proftpd && systemctl enable proftpd[/CODE]

Подробнее здесь.
https://sys-adm.in/os/nix/539-centod-install-proftpd.html


Следует понимать, что с помощью php из такого chroot легко выйти. Если нужно ограничить по настоящему, следует использовать настоящий chroot и bind mount

[CODE]
find /opt/webdir/ -type f -print0 | xargs -0 sed -i "s/${old_ip}/${new_ip}/g"
find /etc/ansible/ -type f -print0 | xargs -0 sed -i "s/${old_ip}/${new_ip}/g"
find /etc/hosts -type f -print0 | xargs -0 sed -i "s/${old_ip}/${new_ip}/g"
find /etc/munin/ -type f -print0 | xargs -0 sed -i "s/${old_ip}/${new_ip}/g"
[/CODE]

Когда tls on, port 587

[QUOTE]Dmitry Pirogov написал:
что не так?[/QUOTE]
на скриншоте /de[B]c[/B]/sdb вместо /de[B]v[/B]/

[QUOTE]Роман Семёнов написал:
только руками править файлы конфигов сайтов?[/QUOTE]

[CODE]listen 443 default_server http2;

proxy_set_header        Host            $host:443;[/CODE]

В конфигах сайта поменять на нужные порты, и всё будет работать.

[QUOTE]Глеб Синицин написал:
висит красная полоса "соединение с сервером..."
[/QUOTE]
Вчера такая проблема возникла после обновления платформы.
Помогла чистка кеша на сервере и в браузере.