У меня есть Apache httpd v2.4.57, настроенный на Rocky9 для подключения к Tomcat9 / Java17 через сокет домена Unix.
Включается SELinux и выдает сообщение об отказе, как показано ниже:
type=AVC msg=audit(1685376249.480:134): avc: denied { connectto } for pid=1769 comm="httpd" path="/run/tomcat-xxx2-yyy/socket" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:tomcat_t:s0 tclass=unix_stream_socket permissive=0
type=SYSCALL msg=audit(1685376249.480:134): arch=c000003e syscall=42 success=no exit=-13 a0=12 a1=7faa3403a050 a2=27 a3=727461702d746163 items=0 ppid=1767 pid=1769 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)^]ARCH=x86_64 SYSCALL=connect AUID="unset" UID="apache" GID="apache" EUID="apache" SUID="apache" FSUID="apache" EGID="apache" SGID="apache" FSGID="apache"
type=PROCTITLE msg=audit(1685376249.480:134): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44002D6600636F6E662F6465766963652D6D61696E2E636F6E66
Что конкретно мне нужно изменить в конфигурации SELinux, чтобы это заработало?
Мне задать контекст на сокете? Прямо сейчас контекст сокета следующий, но безуспешно:
[root@swordfish ~]# ls -alZ /run/tomcat-xxx2-yyy/socket
srw-rw----. 1 fma fma system_u:object_r:httpd_var_run_t:s0 0 May 29 17:56 /run/tomcat-xxx2-yyy/socket
Мне нужно задать логическое значение selinux? Если да, то какое и на что?
решение1
Из вашего сообщения об ошибке мы знаем, что SELinux блокирует соединение сервера Apache HTTP с сервером Tomcat httpd_t(назначенным Apache HTTPD), которому не разрешено использовать сокет UNIX ( unix_stream_socket) для подключения к tomcat_t.
Давайте создадим пользовательский модуль политики SELinux, разрешающий эту операцию.
Сначала мы используем audit2allowинструмент для генерации Type Enforcement
grep 'comm="httpd"' /var/log/audit/audit.log | audit2allow -M my_httpd_tomcat
затем мы можем установить пакет политики
sudo semodule -i my_httpd_tomcat.pp
Другим решением было бы использование semanageдля изменения контекста типа сокета.
sudo semanage fcontext -a -t httpd_unix_stream_connect_t "/run/tomcat-xxx2-yyy/socket"
sudo restorecon -v "/run/tomcat-xxx2-yyy/socket"
решение2
Секретным ингредиентом является команда audit2why, которая интерпретирует причину отклонения и предлагает решение, которое затем можно применить с полным пониманием последствий и побочных эффектов изменения.
[root@swordfish ~]# cat /var/log/audit/audit.log | audit2why | less
Это показало следующее:
type=AVC msg=audit(1685362712.138:110): avc: denied { connectto } for pid=1804 comm="httpd" path="/run/tomcat-xxx2-yyy/so
cket" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:tomcat_t:s0 tclass=unix_stream_socket permissive=0
Was caused by:
The boolean daemons_enable_cluster_mode was set incorrectly.
Description:
Allow daemons to enable cluster mode
Allow access by executing:
# setsebool -P daemons_enable_cluster_mode 1
Что в свою очередь рекомендовало ответ на этот конкретный вопрос, а именно сделать следующее:
setsebool -P daemons_enable_cluster_mode 1
Вышеуказанный режим вступает в силу немедленно.
Мне задать контекст на сокете? Этого недостаточно. Для сокета домена unix также учитывается контекст процесса (в данном случае tomcat), а также контекст файла сокета.
Логическое значение «daemons_enable_cluster_mode» включает встроенную политику SELinux, которая позволяет демонам взаимодействовать друг с другом.