SElinux: httpd erlauben, eine Verbindung zu einem bestimmten Port herzustellen

Question 1

Standardmäßig erlaubt die SELinux-Richtlinie Diensten nur den Zugriff auf erkannte Ports, die mit diesen Diensten verknüpft sind:

# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Cannot connect to redis server.

- Redis-Port (6379) zur SELinux-Richtlinie hinzufügen

# semanage port -a -t http_port_t -p tcp 6379
# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t                    tcp      6379, 80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Connected successfully.

Sie können auch setroubleshoot-serverRPM installieren und ausführen: sealert -a /var/log/audit/audit.log– Sie erhalten einen schönen Bericht mit nützlichen Vorschlägen (einschließlich des obigen Befehls).

PHP-Skript zum Testen der Verbindung:

# cat redis.php 
<?php

$redis=new Redis();
$connected= $redis->connect('127.0.0.1', 6379);

if(!$connected) {
        die( "Cannot connect to redis server.\n" );
}

echo "Connected successfully.\n";

?>

Answer

Standardmäßig erlaubt die SELinux-Richtlinie Diensten nur den Zugriff auf erkannte Ports, die mit diesen Diensten verknüpft sind:

# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Cannot connect to redis server.

- Redis-Port (6379) zur SELinux-Richtlinie hinzufügen

# semanage port -a -t http_port_t -p tcp 6379
# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t                    tcp      6379, 80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Connected successfully.

Sie können auch setroubleshoot-serverRPM installieren und ausführen: sealert -a /var/log/audit/audit.log– Sie erhalten einen schönen Bericht mit nützlichen Vorschlägen (einschließlich des obigen Befehls).

PHP-Skript zum Testen der Verbindung:

# cat redis.php 
<?php

$redis=new Redis();
$connected= $redis->connect('127.0.0.1', 6379);

if(!$connected) {
        die( "Cannot connect to redis server.\n" );
}

echo "Connected successfully.\n";

?>

Question 2

Möglicherweise müssen Sie

semanage port -m -t http_port_t -p tcp 6379

Wenn semanage fehlt, fügen Sie das Paket policycoreutils-python hinzu

yum install policycoreutils-python

Answer

Möglicherweise müssen Sie

semanage port -m -t http_port_t -p tcp 6379

Wenn semanage fehlt, fügen Sie das Paket policycoreutils-python hinzu

yum install policycoreutils-python

Question 3

Sie können Selinux vorübergehend in den permissiven Modus versetzen und httpd eine Verbindung zu Redis herstellen lassen. Anschließend können Sie ein benutzerdefiniertes Richtlinienmodul generieren und erstellen mitaudit2zulassen

Answer

Sie können Selinux vorübergehend in den permissiven Modus versetzen und httpd eine Verbindung zu Redis herstellen lassen. Anschließend können Sie ein benutzerdefiniertes Richtlinienmodul generieren und erstellen mitaudit2zulassen

SElinux: httpd erlauben, eine Verbindung zu einem bestimmten Port herzustellen

Antwort1

Antwort2

Antwort3

verwandte Informationen