搜索
搜索

Selinux-寻找某种策略来阻止为每个线程打开新端口

debugcn 发表于 Dev
2

尝试使SElinux保持在CentOS上并允许clamAV扫描文件。但似乎SElinux不喜欢以下clamd行为:

Clamd正在侦听预定义的TCP端口,然后使用随机的TCP端口交换文件以与客户端进行检查

简而言之...每个要扫描的文件都打开一个新端口。

禁用SElinux一切正常,所以SElinux策略相关的问题肯定是这样。

在启用和强制执行SElinux的情况下,遇到以下问题: 

● clamd.service - clamd scanner () daemon
   Loaded: loaded (/usr/lib/systemd/system/clamd.service; static; vendor preset: disabled)
   Active: active (running) since Thu 2017-06-22 15:56:57 CEST; 27min ago
 Main PID: 3671 (clamd)
   CGroup: /system.slice/clamd.service
           └─3671 /usr/sbin/clamd -c /etc/clamd.d/scan.conf --foreground=yes
Jun 22 15:57:06 prd-app-srv clamd[3671]: HWP3 support enabled.
Jun 22 15:57:06 prd-app-srv clamd[3671]: Self checking every 600 seconds.
Jun 22 15:58:05 prd-app-srv clamd[3671]: ScanStream: Can't find any free port.
Jun 22 15:58:05 prd-app-srv clamd[3671]: ERROR: ScanStream: Can't find any free port.
Jun 22 16:08:05 prd-app-srv clamd[3671]: SelfCheck: Database status OK.
Jun 22 16:08:05 prd-app-srv clamd[3671]: SelfCheck: Database status OK.
Jun 22 16:08:24 prd-app-srv clamd[3671]: ERROR: ScanStream: Can't find any free port.
Jun 22 16:08:24 prd-app-srv clamd[3671]: ScanStream: Can't find any free port.
Jun 22 16:18:24 prd-app-srv clamd[3671]: SelfCheck: Database status OK.
Jun 22 16:18:24 prd-app-srv clamd[3671]: SelfCheck: Database status OK.

在/var/log/audit/audit.log中,我找到以下日志条目: 

type=AVC msg=audit(1498156946.689:4165): avc:  denied  { name_bind } for  pid=4086 comm="clamd" src=30860 scontext=system_u:system_r:antivirus_t:s0 tcontext=system_u:object_r:unreserved_port_t:s0 tclass=tcp_socket
type=SYSCALL msg=audit(1498156946.689:4165): arch=c000003e syscall=49 success=no exit=-13 a0=b a1=7fdc8fc31a90 a2=10 a3=1f items=0 ppid=1 pid=4086 auid=4294967295 uid=995 gid=994 euid=995 suid=995 fsuid=995 egid=994 sgid=994 fsgid=994 tty=(none) ses=4294967295 comm="clamd" exe="/usr/sbin/clamd" subj=system_u:system_r:antivirus_t:s0 key=(null)

这似乎密切相关:https : //bugzilla.redhat.com/show_bug.cgi?id=1248785

任何人都知道selinux策略会阻止服务打开所需的所有端口吗?

我想让SElinux保持启用和执行状态,并以侵入性较小的方式解决该问题

通过将蛤use使用的端口范围定义到/etc/clamd.d/scan.conf中来解决

StreamingMinPort 30000
StreamingMaxPort 32000

并通过在selinux策略中反映相同的端口范围

semanage port -a -t clamd_port_t -p tcp 30000-32000

有谁知道一种更清洁或更侵入性的方式来管理该问题?

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

SELinux阻止了大佬们

来自分类Dev

SElinux阻止cron运行Centos 7

来自分类Dev

Selinux阻止了我的外部内核模块

来自分类Dev

selinux阻止执行pam_exec命令

来自分类Dev

selinux阻止对文件centos的执行访问

来自分类Dev

selinux阻止PHP / Roundcube连接到本地SMTP或IMAP端口

来自分类Dev

Android系统服务的SELinux策略定义:如何设置?

来自分类Dev

一种触发SELinux策略违规的方法?

来自分类Dev

如何在Debian 8.7中设置最近稳定的SELinux策略?

来自分类Dev

如何扩展SELinux策略以允许ntpd使用gps?

来自分类Dev

Fedora 30启动冻结-无法加载SELinux策略

来自分类Dev

SELinux阻止procmail执行dspam,但没有AVC消息

来自分类Dev

SELinux阻止了来自Amavis的连接回到自身:无法进出?

来自分类Dev

如何使用SELinux启用Nginx绑定到UDP端口10000

来自分类Dev

SELinux影响“无法打开流:权限被拒绝” PHP错误

来自分类Dev

SELinux权限被拒绝用于android中的新框架服务

来自分类Dev

使用chcon实质上绕过selinux是否会比将selinux设置为宽松的安全性低?

来自分类Dev

创建一个RPM以分发自定义SELinux策略

来自分类Dev

将audit2allow生成的SElinux策略放在哪里?

来自分类Dev

如何使用audit2allow的现有输出创建SELinux策略模块?

来自分类Dev

“ SELinux阻止了/ usr / sbin / openvpn从tcp_socket上的name_bind访问”

来自分类Dev

SELinux阻止了/ opt / google / chrome-beta / nacl_helper对文件/ etc / passwd的getattr访问

来自分类Dev

SELinux阻止了/ usr / sbin / php-fpm对文件cert9.db的锁定访问

来自分类Dev

是否有C API来获取SELinux文件上下文?

来自分类Dev

有没有人知道在 docker 中阻止 selinux 转换的无新权限的解决方法?

来自分类Dev

即使在VM上为SELinux设置安全上下文后,MySQL权限也会拒绝错误

来自分类Dev

为许多标签设置SELinux上下文的快速方法-CentOS 8

来自分类Dev

SELinux删除扩展的ACL

来自分类Dev

SELINUX无法启用

Related 相关文章

  1. 1

    SELinux阻止了大佬们

  2. 2

    SElinux阻止cron运行Centos 7

  3. 3

    Selinux阻止了我的外部内核模块

  4. 4

    selinux阻止执行pam_exec命令

  5. 5

    selinux阻止对文件centos的执行访问

  6. 6

    selinux阻止PHP / Roundcube连接到本地SMTP或IMAP端口

  7. 7

    Android系统服务的SELinux策略定义:如何设置?

  8. 8

    一种触发SELinux策略违规的方法?

  9. 9

    如何在Debian 8.7中设置最近稳定的SELinux策略?

  10. 10

    如何扩展SELinux策略以允许ntpd使用gps?

  11. 11

    Fedora 30启动冻结-无法加载SELinux策略

  12. 12

    SELinux阻止procmail执行dspam,但没有AVC消息

  13. 13

    SELinux阻止了来自Amavis的连接回到自身:无法进出?

  14. 14

    如何使用SELinux启用Nginx绑定到UDP端口10000

  15. 15

    SELinux影响“无法打开流:权限被拒绝” PHP错误

  16. 16

    SELinux权限被拒绝用于android中的新框架服务

  17. 17

    使用chcon实质上绕过selinux是否会比将selinux设置为宽松的安全性低?

  18. 18

    创建一个RPM以分发自定义SELinux策略

  19. 19

    将audit2allow生成的SElinux策略放在哪里?

  20. 20

    如何使用audit2allow的现有输出创建SELinux策略模块?

  21. 21

    “ SELinux阻止了/ usr / sbin / openvpn从tcp_socket上的name_bind访问”

  22. 22

    SELinux阻止了/ opt / google / chrome-beta / nacl_helper对文件/ etc / passwd的getattr访问

  23. 23

    SELinux阻止了/ usr / sbin / php-fpm对文件cert9.db的锁定访问

  24. 24

    是否有C API来获取SELinux文件上下文?

  25. 25

    有没有人知道在 docker 中阻止 selinux 转换的无新权限的解决方法?

  26. 26

    即使在VM上为SELinux设置安全上下文后,MySQL权限也会拒绝错误

  27. 27

    为许多标签设置SELinux上下文的快速方法-CentOS 8

  28. 28

    SELinux删除扩展的ACL

  29. 29

    SELINUX无法启用

热门标签

归档