服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 无法在SELinux下启动Redis
Intereting Posts
tomcat6在5.5上不能停止 如何通过港口沟通工程 什么是Nginxconfiguration文件的名称和位置(相当于htaccess)? Windows 2003远程桌面与Windows 2003无法复制/粘贴文件 在发送到Bittorrent Sync之前encryption文件 改进了Windows文件权限的ACL编辑器 本地输出连接的策略路由 如何为一个复杂的设置做一个适当的SPFlogging? yum更新会出现什么问题? 最好的小型networking安全实践 – 无线局域网,局域网, 强制configuration文件pathWindows Server 2008 你用什么服务? 我需要运行不同的Windows场景 encryption一个ODBC连接 haproxy的elastichsearch节点健康检查 openldap和digest-md5:在数据库中没有秘密

无法在SELinux下启动Redis

我对Redis实例有一个相当长期的问题。 当SELinux处于enforcing模式时, Redis服务器无法启动: 

 [root@server ~]# service redis start Starting redis-server: [ OK ]

但事实上,它并没有像lsof所显示的那样开始。 它不返回结果: 

 [root@server ~]# lsof -i :6379

为了进一步确认它没有运行,有一个redis日志: 

 [5539] 21 Nov 03:44:34 # Opening port 6379: bind: Permission denied

现在,我对SELinuxpipe理非常新颖,请耐心等待,因为我可能错过了一些东西。 这是我所能看到的: 

 [root@server ~]# semanage port -l | grep "redis" redis_port_t tcp 6379 [root@server ~]# semanage user -l SELinux User Prefix MCS Level MCS Range SELinux Roles .... redis user s0 s0 user_r ....

上面的redis用户最初并不存在,但我尝试添加它作为redis-server真的在它下面运行。 这没有帮助…

需要注意的是,Redis服务器在内部使用,所以它只监听127.0.0.1:6379

有没有人有任何想法?

目前,我可以把SELinux放在宽松的模式,但我真的想要收紧它,并做到“通过书”。

更新: 

 [root@server ~]# ausearch -ts recent -m avc ---- time->Thu Nov 24 13:48:13 2016 type=SYSCALL msg=audit(1480013293.595:34717): arch=c000003e syscall=49 success=no exit=-13 a0=4 a1=7ffea866c0f0 a2=10 a3=7ffea866be50 items=0 ppid=1 pid=16468 auid=0 uid=495 gid=495 euid=495 suid=495 fsuid=495 egid=495 sgid=495 fsgid=495 tty=(none) ses=5202 comm="redis-server" exe="/usr/sbin/redis-server" subj=unconfined_u:system_r:redis_t:s0 key=(null) type=AVC msg=audit(1480013293.595:34717): avc: denied { name_bind } for pid=16468 comm="redis-server" src=6379 scontext=unconfined_u:system_r:redis_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket

UPDATE(2) 

 [root@server ~]# rpm -qa | grep -i redis redis-2.4.10-1.el6.x86_64 php56w-pecl-redis-2.2.7-1.w6.x86_64

解:

遵循@ Matthew的build议,我开始分析redis_port_thttp_port_t

 [root@server ~]# semanage port -l | grep "redis_port_t" redis_port_t tcp 6379 [root@server ~]# semanage port -l | grep "http_port_t" http_port_t tcp 6379, 80, 81, 443, 488, 8008, 8009, 8443, 9000

那里是! 端口6379被添加到两个端口策略! 是的,我知道记得当我开始迁移时:(做我的耻辱)。

所以,运行这个固定的问题: 

 semanage port -d -t http_port_t 6379 semanage permissive -d redis_t // I don't need this anymore service redis restart lsof -i :6379

那里是:) 

 redis-ser 4575 redis 4u IPv4 236174 0t0 TCP localhost:6379 (LISTEN)

我认为你们的这个政策有些奇怪。

如果您检查审计日志,它说,虽然SELinux源上下文正确标记为redis_t目标上下文标记为http_port_t 。 这是尽pipe你的政策说,它应该是redis_port_t

这意味着什么内核和政策什么不匹配。 港口仍然6379。

你可能想要检查你为你的http_port_t和你的redis_port_tconfiguration了什么。 据我所知,端口策略绑定每个端口/协议只能有一个标签,所以我怀疑你的策略存储中什么东西不能反映你服务器当前的内容。

你可能想尝试做一个semodule -B来重build和重新加载你的策略,以解决同步问题。

如果没有运气,在http_port_t的端口列表中search什么,然后更新问题。