SELinux разрешает http запросы на Fedora 14

720
Alex

У меня есть экземпляр Fedora 14 на Amazon EC2, и я хочу сделать http-запрос от этого экземпляра к другому в той же группе безопасности Amazon. Когда я использую wget, чтобы сделать запрос, он работает нормально. Однако, когда я использую HTTP-клиент Apache, работающий через JBoss 6, я получаю

HttpClient ConnectException: Connection refused

JBoss запускается не как root, а как пользователь "jboss". Я подозреваю, что это проблема SELinux. Я вошел как root и позвонил

setsebool -P httpd_can_network_connect 1

а также 

setsebool -P httpd_can_network_relay 1

Но все равно не повезло. Любые советы будут высоко ценится.

С уважением

0

1 ответ на вопрос

0
Patches

Во-первых, проверьте, действительно ли SELinux является виновником, проверив вход в систему аудита /var/log/audit/audit.log. Там должно быть сообщение, type=AVCсвязанное с JBoss.

Затем вы можете использовать это сообщение вместе с audit2allowинструментом для авторизации заблокированного доступа. Чтобы авторизовать все заблокированные для любого двоичного файла с именем jbossв нем, запустите это как root:

grep jboss /var/log/audit/audit.log | audit2allow -M jboss semodule -i jboss.pp

Однако лучше разрешить только определенные необходимые разрешения. Чтобы сделать это, скопируйте и вставьте соответствующие строки из своего журнала аудита в новый файл, и catчто audit2allowвместо этого.

Похожие вопросы