SELinux erlaubt http-Anfragen auf Fedora 14

903
Alex

Ich habe eine Fedora 14-Instanz auf Amazon EC2 und möchte eine http-Anforderung von dieser Instanz an eine andere in derselben Amazon-Sicherheitsgruppe senden. Wenn ich wget für die Anfrage verwende, funktioniert es gut. Wenn ich jedoch einen Apache HTTP-Client mit JBoss 6 verwende, bekomme ich eine

HttpClient ConnectException: Connection refused

JBoss läuft nicht als root, sondern als Benutzer "jboss". Ich vermute, das ist ein SELinux-Problem. Ich habe mich als root angemeldet und angerufen

setsebool -P httpd_can_network_connect 1

und 

setsebool -P httpd_can_network_relay 1

Aber immer noch kein Glück. Jeder Rat wäre sehr dankbar.

Grüße

0

1 Antwort auf die Frage

0
Patches

Überprüfen Sie zunächst, ob SELinux tatsächlich der Täter ist, indem Sie Ihr Prüfprotokoll überprüfen /var/log/audit/audit.log. Es sollte eine Meldung mit type=AVCBezug zu JBoss geben.

Anschließend können Sie diese Nachricht in Verbindung mit dem audit2allowTool verwenden, um den gesperrten Zugriff zu autorisieren. Um alles zuzulassen, das für eine beliebige Binärdatei mit dem jbossbisherigen Namen blockiert wurde, führen Sie Folgendes aus root:

grep jboss /var/log/audit/audit.log | audit2allow -M jboss semodule -i jboss.pp

Es ist jedoch besser, nur die erforderlichen Berechtigungen zuzulassen. Um das zu tun, kopieren und die entsprechenden Zeilen aus dem Überwachungsprotokoll in eine neue Datei einfügen, und catdass audit2allowstatt.

Verwandte Probleme