înregistrare Logare
Puncte:0
avatar Server

proftpd încearcă să deschidă socket-uri udp locale, blocate de SELinux

drapel tn
matt42

de ce proftpd încearcă să deschidă o mulțime de prize udp aleatorii? Este acesta un comportament normal? jurnalul de audit este inundat cu aceste mesaje.

S-au activat: setsebool -P ftpd_connect_all_unreserved 1 setsebool -P ftpd_use_passive_mode=1 setsebool -P ftpd_full_access=1

În afară de asta, totul pare să funcționeze normal. Fără erori de configurare etc.


SELinux împiedică /usr/sbin/proftpd accesul name_bind pe portul udp_socket 27938.

***** Plugin-ul catchall_boolean (89.3 de încredere) sugerează ******************

Dacă doriți să permiteți nis să fie activat
Apoi, trebuie să spuneți SELinux despre acest lucru, activând booleanul „nis_enabled”.

Do
setsebool -P nis_enabled 1

***** Plugin catchall (11.6 de încredere) sugerează **************************

Dacă credeți că proftpd ar trebui să fie permis accesul name_bind pe portul 27938 udp_socket în mod implicit.
Atunci ar trebui să raportați acest lucru ca o eroare.
Puteți genera un modul de politică local pentru a permite acest acces.
Do
permiteți acest acces pentru moment executând:
# ausearch -c 'proftpd' --raw | audit2allow -M my-proftpd
# semodule -X 300 -i my-proftpd.pp


Informatii suplimentare:
Context sursă system_u:system_r:ftpd_t:s0-s0:c0.c1023
Contextul țintă system_u:object_r:unreserved_port_t:s0
Obiecte țintă portul 27938 [udp_socket]
Sursa proftpd
Calea sursă /usr/sbin/proftpd
Portul 27938
Gazdă <Necunoscută>
Pachete RPM sursă proftpd-1.3.6e-4.el8.x86_64
Pachete RPM țintă
SELinux Policy RPM selinux-policy-targeted-3.14.3-67.el8_4.2.noarch
Local Policy RPM selinux-policy-targeted-3.14.3-67.el8_4.2.noarch
Selinux activat Adevărat
Tipul de politică vizat
Mod de aplicare Aplicare
Nume gazdă ftphostname
Platforma Linux ftphostname 4.18.0-305.19.1.el8_4.x86_64
                              #1 SMP miercuri 15 sept 11:28:53 EDT 2021 x86_64 x86_64
Număr de alerte 14
Prima dată văzut 2021-10-01 14:44:19 CEST
Văzut ultima dată 2021-10-01 14:44:19 CEST
ID local d1a84414-7ba1-4756-a6b7-c1c399deacf1

Mesaje brute de audit
type=AVC msg=audit(1633092259.49:1972228): avc: denied { name_bind } for pid=49365 comm="proftpd" src=27938 scontext=system_u:system_r:ftpd_t:s0-s0-s00002_0:s0.context=s0002_3 :unreserved_port_t:s0 tclass=udp_socket permissive=0


type=SYSCALL msg=audit(1633092259.49:1972228): arch=x86_64 syscall=bind success=no exit=EACCES a0=11 a1=7f9b666cbcd0 a2=10 a3=fffffffffffffaf4 items=049492=uid=04953 pipd=04953 0 gid=65534 euid=65534 suid=0 fsuid=65534 egid=65534 sgid=65534 fsgid=65534 tty=(none) ses=4294967295 comm=proftpd exe=/usr/sbin/sbin/proft_d:subsystem:rftpd -s0:c0.c1023 cheie=(null)ARCH=x86_64 SYSCALL=bind AUID=unset UID=root GID=nimeni EUID=nimeni SUID=root FSUID=nimeni EGID=nimeni SGID=nimeni FSGID=nimeni

Hash: proftpd,ftpd_t,unreserved_port_t,udp_socket,name_bind
67
0 + 0
Castaglia avatar
drapel id
Castaglia
Pentru viitorii cititori curioși, aceste socket-uri UDP deschise de ProFTPD în acest caz erau din modulul său `mod_radius`, pentru autentificarea RADIUS. Politica SELinux `nis_enabled` funcționează deoarece RADIUS este suficient de similar cu NIS pentru acea politică.
0
Răspunde
Puncte:1
avatar Server
drapel tn
matt42

setsebool -P nis_enabled 1

și problema a dispărut

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.