我的系统正在使用apache2.2.15运行CentOS 6.4。SElinux正在执行,我正在尝试通过python / wsgi应用连接到Redis的本地实例。我收到错误13,权限被拒绝。我可以通过以下命令解决此问题:
setsebool -P httpd_can_network_connect
但是,我并不完全希望httpd能够连接到所有tcp端口。如何指定允许httpd连接到哪些端口/网络?如果我可以制作一个模块来允许httpd连接到端口6379(redis)或127.0.0.1上的任何tcp,那将是更好的选择。不知道为什么我的妄想症在这方面如此强烈,但是嘿...
有人知道吗
Answers:
默认情况下,SELinux策略将仅允许服务访问与这些服务关联的公认端口:
# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Cannot connect to redis server.
-将Redis端口(6379)添加到SELinux策略
# semanage port -a -t http_port_t -p tcp 6379
# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t tcp 6379, 80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Connected successfully.
您还可以安装setroubleshoot-serverRPM并运行:sealert -a /var/log/audit/audit.log-它会为您提供包含有用建议的精美报告(包括上述命令)。
PHP脚本来测试连接:
# cat redis.php
<?php
$redis=new Redis();
$connected= $redis->connect('127.0.0.1', 6379);
if(!$connected) {
die( "Cannot connect to redis server.\n" );
}
echo "Connected successfully.\n";
?>
http_port_t失败,因为端口25已被使用(对于另一个的SELinux型): ValueError: Port tcp/25 already defined。允许httpd连接到端口25的正确方法是在以下位置设置相应的SELinux策略布尔值:(setsebool -P httpd_can_sendmail on请参阅参考资料getseebool -a)。(续第2部分)
sealert -b; sealert -a /var/log/audit/audit.log; grep perl /var/log/audit/audit.log | audit2allow -M mypol; semodule -v -i mypol.pp。然后就可以了!
getsebool -a命令中的次要错字(少了1个e)。
semanage port -m -t http_port_t -p tcp 25,请参见semanage port --help
setsebool -P httpd_can_connect_zabbix true
您可能需要使用
semanage port -m -t http_port_t -p tcp 6379
如果缺少semanage,请添加软件包policycoreutils-python
yum install policycoreutils-python
semanage可能policycoreutils-python-utils现在(至少在Fedora 23上)
semanage在中policycoreutils-python。