Red Hat Summit9.3. Implantação de um servidor Tang com SELinux em modo de aplicação
Use este procedimento para implantar um servidor Tang rodando em uma porta personalizada como um serviço confinado no modo de aplicação do SELinux.
Pré-requisitos
-
O pacote
policycoreutils-python-utilse suas dependências estão instalados.
Procedimento
Para instalar o pacote
tange suas dependências, digite o seguinte comando comoroot:yum install tang
# yum install tangCopy to Clipboard Copied! Toggle word wrap Toggle overflow Escolha um porto desocupado, por exemplo, 7500/tcp, e permita que o serviço
tangdse ligue a esse porto:semanage port -a -t tangd_port_t -p tcp 7500
# semanage port -a -t tangd_port_t -p tcp 7500Copy to Clipboard Copied! Toggle word wrap Toggle overflow Note que uma porta só pode ser usada por um serviço de cada vez e, portanto, uma tentativa de usar uma porta já ocupada implica na mensagem de erro
ValueError: Port already defined.Abra a porta no firewall:
firewall-cmd --add-port=7500/tcp firewall-cmd --runtime-to-permanent
# firewall-cmd --add-port=7500/tcp # firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow Habilite o serviço
tangd:systemctl enable tangd.socket
# systemctl enable tangd.socketCopy to Clipboard Copied! Toggle word wrap Toggle overflow Criar um arquivo de substituição:
systemctl edit tangd.socket
# systemctl edit tangd.socketCopy to Clipboard Copied! Toggle word wrap Toggle overflow Na seguinte tela do editor, que abre um arquivo
override.confvazio localizado no diretório/etc/systemd/system/tangd.socket.d/, altere a porta padrão para o servidor Tang de 80 para o número escolhido anteriormente, adicionando as seguintes linhas:[Socket] ListenStream= ListenStream=7500
[Socket] ListenStream= ListenStream=7500Copy to Clipboard Copied! Toggle word wrap Toggle overflow Salvar o arquivo e sair do editor.
Recarregar a configuração alterada:
systemctl daemon-reload
# systemctl daemon-reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow Verifique se sua configuração está funcionando:
systemctl show tangd.socket -p Listen
# systemctl show tangd.socket -p Listen Listen=[::]:7500 (Stream)Copy to Clipboard Copied! Toggle word wrap Toggle overflow Iniciar o serviço
tangd:systemctl start tangd.socket
# systemctl start tangd.socketCopy to Clipboard Copied! Toggle word wrap Toggle overflow Como
tangdusa o mecanismo de ativação do soquetesystemd, o servidor inicia assim que a primeira conexão chega. Um novo conjunto de chaves criptográficas é gerado automaticamente no primeiro início. Para realizar operações criptográficas como a geração manual de chaves, use o utilitáriojose.
Recursos adicionais
-
tang(8)página do homem -
semanage(8)página do homem -
firewall-cmd(1)página do homem -
systemd.unit(5)esystemd.socket(5)páginas man -
jose(1)página do homem
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}