У меня довольно постоянная проблема с моим Redis
пример. Пока SELinux
в enforcing
Режим, Redis
сервер не запускается:
[root@server ~]# service redis start
Starting redis-server: [ OK ]
Но на самом деле он не запустился, как показывает lsof
. Результат не возвращается:
[root@server ~]# lsof -i :6379
Чтобы еще раз подтвердить, что он не запущен, есть журнал Redis:
[5539] 21 Nov 03:44:34 # Opening port 6379: bind: Permission denied
Теперь я новичок в SELinux
справляясь так, пожалуйста, потерпите меня, я мог что-то упустить. Вот что я смог увидеть:
[root@server ~]# semanage port -l | grep "redis"
redis_port_t tcp 6379
[root@server ~]# semanage user -l
SELinux User Prefix MCS Level MCS Range SELinux Roles
....
redis user s0 s0 user_r
....
Над redis
пользователь изначально не существовал, но я попытался добавить его как redis-server
действительно работает под ней. Это не помогло ...
Следует отметить, что сервер Redis используется внутри компании, поэтому он слушает только 127.0.0.1:6379
.
У кого-нибудь есть идеи?
А пока могу поставить SELinux
в разрешительном режиме, но очень хотелось бы подкрутить и сделать "по книге".
[root@server ~]# ausearch -ts recent -m avc
----
time->Thu Nov 24 13:48:13 2016
type=SYSCALL msg=audit(1480013293.595:34717): arch=c000003e syscall=49 success=no exit=-13 a0=4 a1=7ffea866c0f0 a2=10 a3=7ffea866be50 items=0 ppid=1 pid=16468 auid=0 uid=495 gid=495 euid=495 suid=495 fsuid=495 egid=495 sgid=495 fsgid=495 tty=(none) ses=5202 comm="redis-server" exe="/usr/sbin/redis-server" subj=unconfined_u:system_r:redis_t:s0 key=(null)
type=AVC msg=audit(1480013293.595:34717): avc: denied { name_bind } for pid=16468 comm="redis-server" src=6379 scontext=unconfined_u:system_r:redis_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket
[root@server ~]# rpm -qa | grep -i redis
redis-2.4.10-1.el6.x86_64
php56w-pecl-redis-2.2.7-1.w6.x86_64
Следуя предложению @Matthew, я начал анализировать redis_port_t
и http_port_t
:
[root@server ~]# semanage port -l | grep "redis_port_t"
redis_port_t tcp 6379
[root@server ~]# semanage port -l | grep "http_port_t"
http_port_t tcp 6379, 80, 81, 443, 488, 8008, 8009, 8443, 9000
И вот оно! Порт 6379
был добавлен в обе политики порта! И да, я помню, как делал это, когда начинал миграцию :( (позор мне).
Итак, запуск этого исправил проблему:
semanage port -d -t http_port_t 6379
semanage permissive -d redis_t // I don't need this anymore
service redis restart
lsof -i :6379
И вот оно :)
redis-ser 4575 redis 4u IPv4 236174 0t0 TCP localhost:6379 (LISTEN)
Я думаю, что в вашей политике происходит что-то странное.
Если вы проверите журналы аудита, он говорит, в то время как исходный контекст SELinux правильно помечен как redis_t
целевой контекст помечен как http_port_t
. Несмотря на то, что сказано в вашей политике, это должно быть redis_port_t
.
Это означает, что содержимое ядра и политика не совпадают. Хотя порт по-прежнему 6379.
Вы можете проверить, что вы настроили для своего http_port_t
а также ваш redis_port_t
. Насколько я понимаю, привязки политик портов могут иметь только одну метку на порт / протокол, поэтому я подозреваю, что то, что находится в вашем хранилище политик, не отражает то, что находится на вашем сервере в настоящее время.
Вы можете попробовать сделать semodule -B
, чтобы восстановить и перезагрузить политику, чтобы попытаться исправить проблему синхронизации.
Если не повезло, поищите в списках портов http_port_t
и обновите вопрос.