【问题标题】:Apache proxy + UNIX socket + SELINUX: How is it done?Apache 代理 + UNIX 套接字 + SELINUX:它是怎么做的?
【发布时间】:2022-01-04 09:44:42
【问题描述】:

我正在尝试通过文件系统中的 UNIX 套接字让 gunicorn 在 Apache 代理后面运行。长话短说,它在非强制模式下与 SELinux 一起工作,但在强制模式下不工作。我正在努力解决这个问题。这是我由 gunicorn 创建的套接字文件:

srwxrwxrwx. dh dh system_u:object_r:httpd_sys_content_t:s0 /var/www/wsgi/dham_wsgi.sock

在通过 Apache 访问失败后,audit2why 对此有何评论:

type=AVC msg=audit(1641287516.397:870181): avc:  denied  { connectto } for  pid=23897 comm="httpd" path="/var/www/wsgi/dham_wsgi.sock" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:init_t:s0 tclass=unix_stream_socket permissive=0
    
        Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

让我们按照这个提示,阅读一些手册页和互联网,然后开始工作:

$ sudo cat /var/log/audit/audit.log | audit2allow -m httpd_socket -l > httpd_socket.te
$ cat httpd_socket.te

module httpd_socket 1.0;

require {
        type httpd_t;
        type httpd_sys_content_t;
        class sock_file write;
}

#============= httpd_t ==============
allow httpd_t httpd_sys_content_t:sock_file write;
$ checkmodule -M -m -o httpd_socket.mod httpd_socket.te
checkmodule:  loading policy configuration from httpd_socket.te
checkmodule:  policy configuration loaded
checkmodule:  writing binary representation (version 19) to httpd_socket.mod
$ semodule_package -o httpd_socket.pp -m httpd_socket.mod
$ sudo semodule -i httpd_socket.pp

但它不起作用,一切都和以前一样。重新启动 Apache 没有任何区别。现在呢?

【问题讨论】:

    标签: apache gunicorn selinux


    【解决方案1】:

    我的初始 audit2allow 似乎没有发现所有问题,因为我使用了“-l”标志(上次策略重新加载)。使用如下更激进的方法让我在生成的模块中获得了更多条目。安装后,它工作了。

    sudo grep dham_wsgi /var/log/audit/audit.log | audit2allow -M httpd_socket
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2016-07-31
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-09-06
      • 2011-07-05
      相关资源
      最近更新 更多