我们有 API 服务器(tomcat),它具有 clamAV 配置,可以扫描任何上传到系统的文件。
clamAV 配置将需要 API 服务器连接到 clamAV 服务器。
两台服务器上都启用了 SELinux,每当我们尝试上传文件时,都会收到以下错误/异常:
tomcat: java.net.socketexception permission denied (connect failed)
该错误与 SELinux 有关,以下是此拒绝的审计日志:
type=AVC msg=audit(1632293242.892:403): avc: denied { name_connect } for pid=2663 comm="http-nio-8780-e" dest=3310 scontext=system_u:system_r:tomcat_t:s0 tcontext=system_uSmiley Surprisedbject_r:clamd_port_t:s0 tclass=tcp_socket permissive=0
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
我们通过使用Audit2Allow命令创建 SELinux 自定义策略解决了这个问题。
但是,我们需要知道是否有其他方法可以使用 SELinux 布尔值或任何我们可以应用的标签更改来解决这个问题。
您能否提一些建议 ?
谢谢
答案1
如果有其他方法的话audit2why就会告诉你。
您还可以尝试该sealert工具,它将显示最近的 SELinux 拒绝并提供详细信息。