SELinux 阻止连接 clamd_port_t:tcp_socket

SELinux 阻止连接 clamd_port_t:tcp_socket

我们有 API 服务器(tomcat),它具有 clamAV 配置,可以扫描任何上传到系统的文件。

clamAV 配置将需要 API 服务器连接到 clamAV 服务器。

两台服务器上都启用了 SELinux,每当我们尝试上传文件时,都会收到以下错误/异常:

tomcat: java.net.socketexception permission denied (connect failed)

该错误与 SELinux 有关,以下是此拒绝的审计日志:

type=AVC msg=audit(1632293242.892:403): avc:  denied  { name_connect } for  pid=2663 comm="http-nio-8780-e" dest=3310 scontext=system_u:system_r:tomcat_t:s0 tcontext=system_uSmiley Surprisedbject_r:clamd_port_t:s0 tclass=tcp_socket permissive=0

    Was caused by:
        Missing type enforcement (TE) allow rule.

        You can use audit2allow to generate a loadable module to allow this access.

我们通过使用Audit2Allow命令创建 SELinux 自定义策略解决了这个问题。

但是,我们需要知道是否有其他方法可以使用 SELinux 布尔值或任何我们可以应用的标签更改来解决这个问题。

您能否提一些建议 ?

谢谢

答案1

如果有其他方法的话audit2why就会告诉你。

您还可以尝试该sealert工具,它将显示最近的 SELinux 拒绝并提供详细信息。

相关内容