Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 4. Configuration de SELinux pour les applications et les services avec des configurations non standard

Lorsque SELinux est en mode d'application, la politique par défaut est la politique ciblée. Les sections suivantes fournissent des informations sur la mise en place et la configuration de la stratégie SELinux pour divers services après avoir modifié les valeurs par défaut de la configuration, telles que les ports, l'emplacement des bases de données ou les autorisations du système de fichiers pour les processus.

Vous apprenez à modifier les types SELinux pour les ports non standard, à identifier et à corriger les étiquettes incorrectes pour les changements de répertoires par défaut et à ajuster la politique à l'aide des booléens SELinux.

Vous pouvez configurer le serveur HTTP Apache pour qu'il écoute sur un port différent et pour qu'il fournisse du contenu dans un répertoire autre que celui par défaut. Pour éviter les refus SELinux qui en découlent, suivez les étapes de cette procédure pour ajuster la politique SELinux de votre système.

Conditions préalables

  • Le paquet httpd est installé et le serveur HTTP Apache est configuré pour écouter sur le port TCP 3131 et pour utiliser le répertoire /var/test_www/ au lieu du répertoire par défaut /var/www/.
  • Les paquets policycoreutils-python-utils et setroubleshoot-server sont installés sur votre système.

Procédure

  1. Démarrez le service httpd et vérifiez l'état : 

    # systemctl start httpd
# systemctl status httpd
...
httpd[14523]: (13)Permission denied: AH00072: make_sock: could not bind to address [::]:3131
...
systemd[1]: Failed to start The Apache HTTP Server.
...
    Copy to Clipboard Toggle word wrap

  2. La politique SELinux suppose que httpd fonctionne sur le port 80 : 

    # semanage port -l | grep http
http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989
    Copy to Clipboard Toggle word wrap

  3. Modifier le type SELinux du port 3131 pour qu'il corresponde au port 80 : 

    # semanage port -a -t http_port_t -p tcp 3131
    Copy to Clipboard Toggle word wrap

  4. Recommencer httpd: 

    # systemctl start httpd
    Copy to Clipboard Toggle word wrap

  5. Cependant, le contenu reste inaccessible : 

    # wget localhost:3131/index.html
...
HTTP request sent, awaiting response... 403 Forbidden
...
    Copy to Clipboard Toggle word wrap

    Trouvez la raison à l'aide de l'outil sealert: 

    # sealert -l "*"
...
SELinux is preventing httpd from getattr access on the file /var/test_www/html/index.html.
...
    Copy to Clipboard Toggle word wrap

  6. Comparez les types SELinux pour le chemin standard et le nouveau chemin à l'aide de l'outil matchpathcon: 

    # matchpathcon /var/www/html /var/test_www/html
/var/www/html       system_u:object_r:httpd_sys_content_t:s0
/var/test_www/html  system_u:object_r:var_t:s0
    Copy to Clipboard Toggle word wrap

  7. Modifiez le type SELinux du nouveau répertoire de contenu /var/test_www/html/ pour qu'il corresponde au type du répertoire par défaut /var/www/html: 

    # semanage fcontext -a -e /var/www /var/test_www
    Copy to Clipboard Toggle word wrap

  8. Réétiqueter le répertoire /var de manière récursive : 

    # restorecon -Rv /var/
...
Relabeled /var/test_www/html from unconfined_u:object_r:var_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0
Relabeled /var/test_www/html/index.html from unconfined_u:object_r:var_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0
    Copy to Clipboard Toggle word wrap

Vérification

  1. Vérifiez que le service httpd est en cours d'exécution : 

    # systemctl status httpd
...
Active: active (running)
...
systemd[1]: Started The Apache HTTP Server.
httpd[14888]: Server configured, listening on: port 3131
...
    Copy to Clipboard Toggle word wrap

  2. Vérifiez que le contenu fourni par le serveur HTTP Apache est accessible : 

    # wget localhost:3131/index.html
...
HTTP request sent, awaiting response... 200 OK
Length: 0 [text/html]
Saving to: ‘index.html’
...
    Copy to Clipboard Toggle word wrap
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat