আমার কাছে ইউনিক্স সকেটের মাধ্যমে বন্দুকের জন্য নগ্নিক্স ফরোয়ার্ড করার অনুরোধ রয়েছে /run/gunicorn/socket
। ডিফল্টরূপে, SELinux দ্বারা এই আচরণের অনুমতি নেই:
grep nginx /var/log/audit/audit.log
type=SERVICE_START msg=audit(1454358912.455:5390): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=nginx comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
type=AVC msg=audit(1454360194.623:7324): avc: denied { write } for pid=9128 comm="nginx" name="socket" dev="tmpfs" ino=76151 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=sock_file
type=SYSCALL msg=audit(1454360194.623:7324): arch=c000003e syscall=42 success=no exit=-13 a0=c a1=1f6fe58 a2=6e a3=7ffee1da5710 items=0 ppid=9127 pid=9128 auid=4294967295 uid=995 gid=993 euid=995 suid=995 fsuid=995 egid=993 sgid=993 fsgid=993 tty=(none) ses=4294967295 comm="nginx" exe="/usr/sbin/nginx" subj=system_u:system_r:httpd_t:s0 key=(null)
type=AVC msg=audit(1454361591.701:13343): avc: denied { connectto } for pid=9128 comm="nginx" path="/run/gunicorn/socket" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=unix_stream_socket
type=SYSCALL msg=audit(1454361591.701:13343): arch=c000003e syscall=42 success=no exit=-13 a0=c a1=1f6fe58 a2=6e a3=7ffee1da5950 items=0 ppid=9127 pid=9128 auid=4294967295 uid=995 gid=993 euid=995 suid=995 fsuid=995 egid=993 sgid=993 fsgid=993 tty=(none) ses=4294967295 comm="nginx" exe="/usr/sbin/nginx" subj=system_u:system_r:httpd_t:s0 key=(null)
আমি যেখানেই দেখি (উদাঃ, এখানে এবং এখানে ), এনগিনেক্সে একটি অনুরোধ করার জন্য এটি সক্ষম করার নির্দেশাবলী, অনুরোধটি সেলইনাক্স দ্বারা প্রত্যাখ্যান করা উচিত, তারপরে audit2allow
ভবিষ্যতের অনুরোধগুলি অনুমোদনের জন্য চালান । আমি এমন কোনও আদেশ chcon
বা semanage
আদেশ সন্ধান করতে পারি না যা স্পষ্টভাবে এই আচরণের অনুমতি দেয়।
এই একমাত্র উপায়? এটি হাস্যকর বলে মনে হচ্ছে যে আপনি কোনও নীতি সেট আপ করতে পারবেন না যা এনজিনেক্সকে প্রথমে চেষ্টা অস্বীকার না করে এবং পরে এমন একটি সরঞ্জাম চালনা না করে সকেটে লিখতে দেয় যা প্রত্যাখ্যানিত জিনিসগুলিকে সক্ষম করে। কীভাবে সক্ষম হচ্ছেন তা আপনি কীভাবে জানবেন? আপনার অটোমেশনের অধীনে মেশিনগুলি সেট আপ করলে এটি কীভাবে কাজ করবে?
আমি CentOS 7 ব্যবহার করছি।