SELinux împiedică conexiunea clamd_port_t:tcp_socket

Avem server API (tomcat) care are configurație clamAV pentru a scana orice fișier încărcat în sistem.

Configurarea clamAV va necesita ca serverul API să se conecteze la serverul clamAV.

SELinux este activat pe ambele servere și ori de câte ori încercăm să încărcăm fișiere primim următoarea eroare/excepție:

tomcat: permisiunea java.net.socketexception refuzată (conectarea eșuată)

Această eroare este legată de SELinux și aici jurnalul de audit pentru această refuz:

type=AVC msg=audit(1632293242.892:403): avc: denied { name_connect } for pid=2663 comm="http-nio-8780-e" dest=3310 scontext=system_u:system_r:tomcat_t:s0 tcontext=system:_bSject=system:_bS clamd_port_t:s0 tclass=tcp_socket permissive=0

    A fost cauzată de:
        Lipsește regula de autorizare a aplicării tipului (TE).

        Puteți utiliza audit2allow pentru a genera un modul încărcat pentru a permite acest acces.

Am rezolvat acest lucru creând o politică personalizată SELinux folosind Audit2Allow comanda.

Dar, trebuie să știm dacă există vreo altă modalitate de a rezolva acest lucru folosind SELinux Booleans sau orice modificare de etichetă pe care o putem aplica.

Poti te rog sa ma sfatuiesti ?

Mulțumiri

Dacă ar fi fost o altă cale atunci audit2de ce ți-ar fi spus despre asta.

De asemenea, puteți încerca sigilat instrument care va afișa refuzurile recente ale SELinux și va oferi informații detaliate.