Назад | Перейти на главную страницу

Какой правильный port_type для службы rhsmd?

Я запускаю RHEL 7.6 из-за прокси. Я ввел информацию о прокси-сервере в несколько файлов конфигурации и в целом мне удалось получить доступ к репозиториям rhel, особенно при использовании yum из командной строки.

Однако я продолжаю получать «Новое предупреждение безопасности SELinux, отказ AVC, щелкните значок для просмотра». Я получаю ошибочные результаты из графического интерфейса установщика пакетов, поэтому мне интересно, не в этом ли проблема.

Если я сделаю этот поиск:

sealert -a /var/log/audit/audit.log

Появляется следующее сообщение об ошибке:

If you want to allow rhsmd to connect to network port 10415
Then you need to modify the port type.
Do
semanage port -a -t PORT_TYPE -p tcp 10415
where PORT_TYPE is one of the following: dns_port_t, dnssec_port_t, http_cache_port_t, http_port_t, netport_port_t, squid_port_t, websm_port_t.

Любая идея, какой port_type будет правильным? Я попробовал http_port_t, но безуспешно.

p.s. Я также попробовал другой вариант, предложенный в сообщении об ошибке, но там не повезло: 

ausearch -c 'rhsmd' --raw | audit2allow -M my-rhsmd
semodule -i my-rhsmd.pp

Изменить: вот весь текст сообщения:

SELinux предотвращает доступ rhsmd к name_connect на порту 10415 tcp_socket.

***** Плагин connect_ports (уверенность 92,2) предлагает *********************

Если вы хотите разрешить rhsmd подключаться к сетевому порту 10415, вам необходимо изменить тип порта. Делать

semanage порт -a -t ТИП_ПОРТА -p tcp 10415

где PORT_TYPE - одно из следующих значений: dns_port_t, dnssec_port_t, http_cache_port_t, http_port_t, netport_port_t, squid_port_t, websm_port_t.

***** Плагин catchall_boolean (уверенность 7,83) предлагает ******************

Если вы хотите, чтобы nis был включен, вы должны сообщить об этом SELinux, включив логическое значение nis_enabled.

Сделать setsebool -P nis_enabled 1

***** Плагин catchall (уверенность 1,41) предлагает **************************

Если вы считаете, что rhsmd должен иметь доступ name_connect на порт 10415 tcp_socket по умолчанию. Тогда вы должны сообщить об этом как об ошибке. Вы можете создать модуль локальной политики, чтобы разрешить этот доступ. Разрешите этот доступ сейчас, выполнив:

ausearch -c 'rhsmd' --raw | audit2allow -M my-rhsmd

semodule -i мой-rhsmd.pp

Дополнительная информация: Исходный контекст system_u: system_r: rhsmcertd_t: s0-s0: c0.c1023 Целевой контекст system_u: object_r: unreserved_port_t: s0 Целевой порт объектов 10415 [tcp_socket] Источник rhsmd 1,1 Вверх

Вам следует сделать то, что говорится в первой рекомендации, потому что вы используете порт 10415 в качестве HTTP-прокси. Поэтому вы должны указать SELinux разрешить такой трафик на этот порт. Например:

semanage port -a -t http_port_t -p tcp 10415