Регистрация Войти
Рейтинг:0
avatar Server

proftpd пытается открыть локальные сокеты udp, заблокированные SELinux

флаг tn
matt42

почему proftpd пытается открыть множество случайных сокетов udp? Это нормальное поведение? журнал аудита переполнен этими сообщениями.

Включил эти: setsebool -P ftpd_connect_all_unreserved 1 setsebool -P ftpd_use_passive_mode=1 setsebool -P ftpd_full_access=1

Кроме этого, вроде бы все работает нормально. Никаких ошибок конфигурации и т.д.


SELinux запрещает /usr/sbin/proftpd доступ name_bind к порту udp_socket 27938.

***** Плагин catchall_boolean (вероятность 89,3) предлагает ******************

Если вы хотите включить nis
Затем вы должны сообщить SELinux об этом, включив логическое значение nis_enabled.

Делать
setsebool -P nis_enabled 1

***** Улавливающий плагин (11.6 достоверность) предлагает *****************************

Если вы считаете, что proftpd должен быть разрешен доступ name_bind к порту 27938 udp_socket по умолчанию.
Тогда вы должны сообщить об этом как об ошибке.
Вы можете создать модуль локальной политики, чтобы разрешить этот доступ.
Делать
разрешить этот доступ на данный момент, выполнив:
# ausearch -c 'proftpd' --raw | Audit2allow -M my-proftpd
# semodule -X 300 -i my-proftpd.pp


Дополнительная информация:
Исходный контекст system_u:system_r:ftpd_t:s0-s0:c0.c1023
Целевой контекст system_u:object_r:unreserved_port_t:s0
Порт целевых объектов 27938 [ udp_socket ]
Источник proftpd
Исходный путь /usr/sbin/proftpd
Порт 27938
Хост <Неизвестно>
Исходные пакеты RPM proftpd-1.3.6e-4.el8.x86_64
Целевые RPM-пакеты
Политика SELinux RPM selinux-policy-targeted-3.14.3-67.el8_4.2.noarch
Локальная политика RPM selinux-policy-targeted-3.14.3-67.el8_4.2.noarch
Селинукс Включен Верно
Целевой тип политики
Принудительный режим
Имя хоста ftphostname
Платформа Linux ftphostname 4.18.0-305.19.1.el8_4.x86_64
                              #1 SMP Ср, 15 сентября, 11:28:53 по восточному поясному времени 2021 x86_64 x86_64
Количество предупреждений 14
Первое появление 01.10.2021, 14:44:19 CEST
Последнее посещение 2021-10-01 14:44:19 CEST
Локальный идентификатор d1a84414-7ba1-4756-a6b7-c1c399deacf1

Необработанные сообщения аудита
type=AVC msg=audit(1633092259.49:1972228): avc: deny { name_bind } for pid=49365 comm="proftpd" src=27938 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r :unreserved_port_t:s0 tclass=udp_socket разрешительный=0


type=SYSCALL msg=audit(1633092259.49:1972228): arch=x86_64 syscall=bind success=no exit=EACCES a0=11 a1=7f9b666cbcd0 a2=10 a3=fffffffffffffaf4 items=0 ppid=48153 pid=49365 auid=42949672 0 gid=65534 euid=65534 suid=0 fsuid=65534 egid=65534 sgid=65534 fsgid=65534 tty=(нет) ses=4294967295 comm=proftpd exe=/usr/sbin/proftpd subj=system_u:system_r:ftpd_t:s0 -s0:c0.c1023 key=(null)ARCH=x86_64 SYSCALL=bind AUID=unset UID=root GID=никто EUID=никто SUID=root FSUID=никто EGID=никто SGID=никто FSGID=никто

Хэш: proftpd,ftpd_t,unreserved_port_t,udp_socket,name_bind
67
0 + 0
Castaglia avatar
флаг id
Castaglia
Для тех любопытных будущих читателей, что эти сокеты UDP, открытые ProFTPD в этом случае, были из его модуля `mod_radius` для аутентификации RADIUS. Политика SELinux nis_enabled работает, потому что RADIUS достаточно похож на NIS для этой политики.
0
Ответить
Рейтинг:1
avatar Server
флаг tn
matt42

setsebool -P nis_enabled 1

и проблема исчезла

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.