« 03.20 Redmine ... mongrel_cluster化 | ココ | 03.21 腕が重い »

2008年3月20日

リバースプロキシがSELinuxに捕まる   このエントリーを含むはてなブックマーク 

Redmineを前回やったようにリバースプロキシでポート指定なしで飛ばせるように(かつポートを開けなくても済むように)したわけですが。そうするとRedmineが表示されなくなってしまう…503エラーが起こって。なんでだろーと悩むこと数十分。mongrelのログにも、httpdのerrorログにもなかったわけなんで、どうしてかさっぱり分からず、たどり着いたのが原点でもある/var/log/messages。

Mar 20 23:53:24 localhost setroubleshoot: SELinux is preventing the http daemon from connecting to network port 3000 For complete SELinux messages. run sealert -l f9c9a6ac-f70b-4888-b114-bea9c5564684

なんとSELinuxが悪いんだ! と言い訳してました。

仕方ないので指示通りsealertを実行してやる。

# sealert -l f9c9a6ac-f70b-4888-b114-bea9c5564684

要約:

SELinux is preventing the http daemon from connecting to network port 3000

詳細説明:

SELinux has denied the http daemon from connecting to 3000. An httpd script is
trying to do a network connect to a remote port. If you did not setup httpd to
network connections, this could signal a intrusion attempt.

アクセスを許可:

If you want httpd to connect to network ports you need to turn on the
httpd_can_network_network_connect boolean: "setsebool -P
httpd_can_network_connect=1"

次のコマンドがこのアクセスを許可します:

setsebool -P httpd_can_network_connect=1

追加情報:

ソースコンテキスト system_u:system_r:httpd_t:s0
ターゲットコンテキ・system_u:object_r:port_t:s0
ターゲットオブジェ・None [ tcp_socket ]
Source httpd
Source Path /usr/sbin/httpd
Port 3000
Host localhost.localdomain
Source RPM Packages httpd-2.2.8-1.fc8
Target RPM Packages
ポリシー RPM selinux-policy-3.0.8-93.fc8
Selinux 有効化 True
ポリシータイプ targeted
MLS 有効化 True
強制モード Enforcing
プラグイン名 httpd_can_network_connect
ホスト名 localhost.localdomain
プラットフォーム Linux localhost.localdomain 2.6.24.3-34.fc8 #1 SMP
Wed Mar 12 18:17:20 EDT 2008 i686 i686
通知カウント 6
First Seen Thu Mar 20 23:08:58 2008
Last Seen Thu Mar 20 23:53:22 2008
Local ID f9c9a6ac-f70b-4888-b114-bea9c5564684
行番号

生の監査メッセージ

host=localhost.localdomain type=AVC msg=audit(1206024802.451:39): avc: denied { name_connect } for pid=2076 comm="httpd" dest=3000 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket

host=localhost.localdomain type=SYSCALL msg=audit(1206024802.451:39): arch=40000003 syscall=102 success=no exit=-13 a0=3 a1=bfae3290 a2=3b81cc a3=b82a90c0 items=0 ppid=2067 pid=2076 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)

書かれてあったとおり、httpdにネットワーク接続許可を与えてやりました。これでちゃんと表示されるようになったので良しとしましょう。

By ただ at 23:58 カテゴリー ; プログラミングとか

« 03.20 Redmine ... mongrel_cluster化 | 03月の記事 | 03.21 腕が重い »




トラックバック

このエントリーのトラックバックURL:
http://pinmarch.sakura.ne.jp/mt/mt-tb.cgi/1244

このリストは、次のエントリーを参照しています: リバースプロキシがSELinuxに捕まる:

» medicine online order from medicine online order
PinMarch: リバースプロキシがSELinuxに捕まる

トラックバック時刻: 2023年6月30日 10:34