Usando o SELinux para forçar o Linux a permitir que programas se liguem a números de portas menores que 1024

Question

Usando o SELinux para forçar o Linux a permitir que programas se liguem a números de portas menores que 1024

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)
#4 resposta do (-2 votos)

2

Existe uma maneira no SELinux de forçar o linux a permitir que um programa seja ligado a um número de porta menor que 1024?

permissions selinux port

por PHGamer 09.03.2011 / 20:55

4 respostas

Tags permissions selinux port

Force Dovecot para não conectar / desconectar mensagens backuppc - como fazer backup de clientes remotos (pela internet)?

score 2 · Answer 1

Supondo que você tenha um módulo de política adequado para o aplicativo (vamos chamar seu aplicativo "foo"), você pode fazer uma de duas coisas. Você pode definir um tipo de foo_port_t na política, permitir que você tenha acesso a aplicativos 4, assim:

allow foo_t foo_port_t:tcp_socket name_bind;

e o uso de algo assim para rotular a porta real

semanage port -a -t foo_port_t -p tcp 803

Isto irá reivindicar a porta TCP 803 para sua aplicação. A maioria das portas abaixo de 1023 já tem rótulos e você não pode rotular uma porta, arquivo, qualquer que seja o tempo.

Então, opção dois: você pode permitir que seu aplicativo se vincule a uma porta que tenha um rótulo diferente, colocando linhas como essa no seu módulo de política:

require { 
    type http_port_t;
}

allow foo_t http_port_t:tcp_socket name_bind;

Isso permitiria que o aplicativo fosse vinculado a qualquer porta que tivesse http_port_t (significando 80, 443, 488, 8008, 8009 e 8443). Você pode encontrar o rótulo que a porta (803 neste exemplo) você deseja usar, tem por este comando:

semanage port -l | grep 803

score 1 · Answer 2

Execute como root ou sudo . Você só deve usar root para testes, nunca em produção. O kernel não permitirá que você abra uma porta abaixo de 1024 (portas conhecidas) sem essas permissões. Não tem nada a ver com o SELinux, mas com o kernel.

score 0 · Answer 3

Não é o SELinux que não permite que o seu programa seja ligado em portas privilegiadas, é o kernel do Linux. Você pode fazer um encaminhamento de porta da porta desejada para uma porta sem privilégios e executar o aplicativo em uma porta sem privilégios. Isso é seguro e permitido pelo SELinux.

score -2 · Answer 4

Em nossa loja e experiência, descobrimos que é melhor desativar o SELinux. Eu sei que algumas pessoas acharam isso útil, mas nós não o fizemos.

Desativamos tudo em / etc / sysconfig / selinux (ou / etc / selinux / config) com SELINUX = desativado

Os problemas que tivemos em relação ao SELinux foram tão numerosos e causaram tantas horas extras que simplesmente não vale a pena.