Назад | Перейти на главную страницу

Невозможно запустить Redis под SELinux

У меня довольно постоянная проблема с моим Redis пример. Пока SELinux в enforcing Режим, Redis сервер не запускается:

[root@server ~]# service redis start
Starting redis-server:                                     [  OK  ]

Но на самом деле он не запустился, как показывает lsof. Результат не возвращается:

[root@server ~]# lsof -i :6379

Чтобы еще раз подтвердить, что он не запущен, есть журнал Redis:

[5539] 21 Nov 03:44:34 # Opening port 6379: bind: Permission denied

Теперь я новичок в SELinux справляясь так, пожалуйста, потерпите меня, я мог что-то упустить. Вот что я смог увидеть:

[root@server ~]# semanage port -l | grep "redis"
redis_port_t                   tcp      6379

[root@server ~]# semanage user -l
SELinux User    Prefix     MCS Level  MCS Range                      SELinux Roles
....
redis           user       s0         s0                             user_r
....

Над redis пользователь изначально не существовал, но я попытался добавить его как redis-server действительно работает под ней. Это не помогло ...

Следует отметить, что сервер Redis используется внутри компании, поэтому он слушает только 127.0.0.1:6379.

У кого-нибудь есть идеи?

А пока могу поставить SELinux в разрешительном режиме, но очень хотелось бы подкрутить и сделать "по книге".

ОБНОВИТЬ:

[root@server ~]# ausearch -ts recent -m avc
----
time->Thu Nov 24 13:48:13 2016
type=SYSCALL msg=audit(1480013293.595:34717): arch=c000003e syscall=49 success=no exit=-13 a0=4 a1=7ffea866c0f0 a2=10 a3=7ffea866be50 items=0 ppid=1 pid=16468 auid=0 uid=495 gid=495 euid=495 suid=495 fsuid=495 egid=495 sgid=495 fsgid=495 tty=(none) ses=5202 comm="redis-server" exe="/usr/sbin/redis-server" subj=unconfined_u:system_r:redis_t:s0 key=(null)
type=AVC msg=audit(1480013293.595:34717): avc:  denied  { name_bind } for  pid=16468 comm="redis-server" src=6379 scontext=unconfined_u:system_r:redis_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket

ОБНОВЛЕНИЕ (2)

[root@server ~]# rpm -qa | grep -i redis
redis-2.4.10-1.el6.x86_64
php56w-pecl-redis-2.2.7-1.w6.x86_64

РЕШЕНИЕ:

Следуя предложению @Matthew, я начал анализировать redis_port_t и http_port_t:

[root@server ~]# semanage port -l | grep "redis_port_t"
redis_port_t                   tcp      6379

[root@server ~]# semanage port -l | grep "http_port_t"
http_port_t                    tcp      6379, 80, 81, 443, 488, 8008, 8009, 8443, 9000

И вот оно! Порт 6379 был добавлен в обе политики порта! И да, я помню, как делал это, когда начинал миграцию :( (позор мне).

Итак, запуск этого исправил проблему:

semanage port -d -t http_port_t 6379
semanage permissive -d redis_t // I don't need this anymore
service redis restart
lsof -i :6379

И вот оно :)

redis-ser 4575 redis    4u  IPv4 236174      0t0  TCP localhost:6379 (LISTEN)

Я думаю, что в вашей политике происходит что-то странное.

Если вы проверите журналы аудита, он говорит, в то время как исходный контекст SELinux правильно помечен как redis_t целевой контекст помечен как http_port_t. Несмотря на то, что сказано в вашей политике, это должно быть redis_port_t.

Это означает, что содержимое ядра и политика не совпадают. Хотя порт по-прежнему 6379.

Вы можете проверить, что вы настроили для своего http_port_t а также ваш redis_port_t. Насколько я понимаю, привязки политик портов могут иметь только одну метку на порт / протокол, поэтому я подозреваю, что то, что находится в вашем хранилище политик, не отражает то, что находится на вашем сервере в настоящее время.

Вы можете попробовать сделать semodule -B , чтобы восстановить и перезагрузить политику, чтобы попытаться исправить проблему синхронизации.

Если не повезло, поищите в списках портов http_port_t и обновите вопрос.