Firewall

rhsmd 服務的正確 port_type 是什麼?

  • April 30, 2019

我在代理後面執行 RHEL 7.6。我已經在一些配置文件中輸入了代理資訊,並且通常成功地獲得了對 rhel 儲存庫的訪問權限,尤其是在從命令行使用 yum 時。

但是,我不斷收到“新的 SELinux 安全警報,AVC 拒絕,點擊圖示查看”。我從包安裝程序 GUI 中得到不穩定的結果,所以我想知道這是否是問題所在。

如果我進行此搜尋:

sealert -a /var/log/audit/audit.log

它顯示以下錯誤消息:

If you want to allow rhsmd to connect to network port 10415
Then you need to modify the port type.
Do
semanage port -a -t PORT_TYPE -p tcp 10415
where PORT_TYPE is one of the following: dns_port_t, dnssec_port_t, http_cache_port_t, http_port_t, netport_port_t, squid_port_t, websm_port_t.

知道哪個 port_type 是正確的嗎?我試過http_port_t,但沒有運氣。

ps我也嘗試了錯誤消息中建議的另一個選項,但沒有運氣:

ausearch -c 'rhsmd' --raw | audit2allow -M my-rhsmd
semodule -i my-rhsmd.pp

編輯:這是消息的全文:

SELinux 阻止 rhsmd 對 tcp_socket 埠 10415 進行 name_connect 訪問。

***** 外掛 connect_ports(92.2 可信度)建議 *********************

如果要允許 rhsmd 連接到網路埠 10415 則需要修改埠類型。做

semanage port -a -t PORT_TYPE -p tcp 10415

其中 PORT_TYPE 是以下之一:dns_port_t、dnssec_port_t、http_cache_port_t、http_port_t、netport_port_t、squid_port_t、websm_port_t。

***** 外掛 catchall_boolean(7.83 可信度)建議 ******************

如果你想允許 nis 啟用 那麼你必須通過啟用 ’nis_enabled’ 布爾值告訴 SELinux。

做 setsebool -P nis_enabled 1

***** 外掛包羅萬象(1.41 可信度)建議 **************************

如果您認為預設情況下應該允許 rhsmd 在埠 10415 tcp_socket 上進行 name_connect 訪問。然後你應該將此報告為錯誤。您可以生成本地策略模組以允許此訪問。通過執行以下命令暫時允許此訪問:

ausearch -c ‘rhsmd’ –raw | audit2allow -M my-rhsmd

semodule -i my-rhsmd.pp

附加資訊:源上下文 system_u:system_r:rhsmcertd_t:s0-s0:c0.c1023 目標上下文 system_u:object_r:unreserved_port_t:s0 目標對象埠 10415

$$ tcp_socket $$ 來源 rhsmd 1,1 頂部

您應該按照第一個建議所說的去做,因為您使用埠 10415 作為 HTTP 代理。所以你應該告訴 SELinux 允許這樣的流量到那個埠。例如:

semanage port -a -t http_port_t -p tcp 10415

引用自:https://serverfault.com/questions/965166