SELinux acesso de saída a outros sites com restrições

Question

SELinux acesso de saída a outros sites com restrições

#1 resposta do (1 votos)

2

Temos o CentOS 6 configurado com o SELinux para hospedar vários sites.

Infelizmente, o SELinux está impedindo que sites acessem sites (de saída), como o download.wordpress.com, para atualizar a instalação do wordpress ou do Joomla.

Gostaríamos de ter o SELinux ativado e a capacidade desses sites de fazer essas conexões.

Nosso medo é que façamos

# setsebool -P httpd_can_network_connect 1

e algum 'desenvolvedor' criará um script php para começar a enviar spam, resultando em nosso IP ser listado na lista negra.

Existe uma maneira de ativar as conexões de saída e limitar a restrição desses problemas de saída ao mesmo tempo?

Obrigado.

security selinux linux centos

por DreX 15.02.2012 / 09:51

1 resposta

Tags security selinux linux centos

Qual é a melhor maneira de copiar arquivos de um sistema de arquivos ext3 para um NTFS e manter a propriedade e as permissões? Não é possível inicializar o sistema operacional

score 1 · Answer 1

Se você disser ao SELinux para permitir conexões de saída, não poderá mais usá-lo para bloquear scripts php abusivos. Você pode, no entanto, usar as regras do iptables em seu lugar.

iptables -I OUTPUT -m state --state new -m owner --uid-owner httpd -j REJECT
iptables -I OUTPUT -m state --state new -m owner --uid-owner httpd -p tcp --dport 80 -j ACCEPT
iptables -I OUTPUT -m state --state new -m owner --uid-owner httpd -p tcp --dport 443 -j ACCEPT
service iptables save

Isso permitirá que o usuário httpd se conecte apenas às portas 80 e 443. Todas as outras tentativas de conexão serão rejeitadas. (mude 'httpd' para o usuário apache httpd é executado como).

Você pode até limitar o número de conexões paralelas permitidas usando o módulo conlimit do iptables. Veja link para um exemplo de como fazer isso.