Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de.
Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert.
Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können.
Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang.
Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
[gelöst] Selinux für httpd auf anderen Ports
Hallo,
ich versuche, den Apache auch auf anderen Ports laufen zu lassen. Selinux lässt das nicht zu. Wenn ich die Regel "httpd_can_network_connect" auf "1" setze, funktioniert der Apache auch auf den anderen Ports. Die Zulassung dieser Regel ist mir aber zu weitgehend.
Dann habe ich denTyp der Ports auf "http_port_t" verändert. Das führte mich aber auch nicht zum Ziel.
Anbei gebe ich die ausführliche Beschreibung des Audit bei. Kann mir jemand helfen ?
Audit:
Summary
SELinux is preventing the http daemon from connecting to network port 8081
Detailed Description
SELinux has denied the http daemon from connecting to 8081. An http script
is trying to do a network connect to a remote port. If you did not setup
httpd to network connections, this could signal a intrusion attempt.
Allowing Access
If you want httpd to connect to network ports you need to turn on the
httpd_can_network_network_connect boolean: "setsebool -P
httpd_can_network_connect=1"
The following command will allow this access:
setsebool -P httpd_can_network_connect=1
Additional Information
Source Context user_u:system_r:httpd_t
Target Context system_u:object_r:httpd_t
Target Objects None [ tcp_socket ]
Affected RPM Packages httpd-2.2.3-11.el5_1.centos.3 [application]
Policy RPM selinux-policy-2.4.6-106.el5_1.3
Selinux Enabled True
Policy Type targeted
MLS Enabled True
Enforcing Mode Enforcing
Plugin Name plugins.httpd_can_network_connect
Host Name ipc817
Platform Linux ipc817 2.6.18-92.1.18.el5 #1 SMP Wed Nov 12
09:19:49 EST 2008 x86_64 x86_64
Alert Count 4
Line Numbers
Raw Audit Messages
avc: denied { name_connect } for comm="httpd" dest=8081 egid=48 euid=48
exe="/usr/sbin/httpd" exit=-13 fsgid=48 fsuid=48 gid=48 items=0 pid=7682
scontext=user_u:system_r:httpd_t:s0 sgid=48 subj=user_u:system_r:httpd_t:s0
suid=48 tclass=tcp_socket tcontext=system_u:object_r:httpd_t:s0 tty=(none)
uid=48
Hallo,
ich habe das Problem gelöst. Ich hatte den Type der Ports nicht auf "http_port_t" sondern auf "httpd_t" geändert.
