Redhatlinux
Páginas: 5 (1106 palabras)
Publicado: 2 de mayo de 2012
Servicios: HTTP – FTP SELinux
HTTP Selinux
1. Ejecute el comando getenforce para confirmar que SELinux esté ejecutándose en modo obligatorio: $ getenforce Enforcing El comando getenforce devuelve el resultado Enforcing cuando SELinux se esté ejecutando en modo obligatorio. 2. Ejecute el comando service httpd start como usuario root para iniciar httpd: # service httpd start Starting httpd:[ OK ]
3. Ejecute el comando ps -eZ | grep httpd para observar los procesos httpd: $ ps -eZ | grep httpd unconfined_u:system_r:httpd_t:s0 2850 ? httpd unconfined_u:system_r:httpd_t:s0 2852 ? unconfined_u:system_r:httpd_t:s0 2853 ? 3unconfined_u:system_r:httpd_t:s0 2854 ? unconfined_u:system_r:httpd_t:s0 2855 ? unconfined_u:system_r:httpd_t:s0 2856 ? unconfined_u:system_r:httpd_t:s0 2857 ?unconfined_u:system_r:httpd_t:s0 2858 ? unconfined_u:system_r:httpd_t:s0 2859 ? 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00
El ejemplo que ofrecemos a continuación demuestra como configurar httpd para que escuchar sobre un puerto que no se encuentre definido en las políticas de SELinux para httpd, y cuyaconsecuencia es que httpd no pueda iniciarse. Además, nuestro ejemplo muestra como configurar luego el sistema SElinux para permitir quehttpd escuche exitosamente un puerto no estándar que no se encuentre todavía definido en la política.
Estos ejemplos presuponen que el paquete httpd se encuentra instalado. Ejecute cada comando como usuario root: 1. Ejecute el comando service httpd status paraconfirmar que httpd no esté ejecutándose: # service httpd status httpd is stopped Si la salida es diferente, ejecute el comando service httpd stop para detener el proceso: # service httpd stop Stopping httpd: [ OK ]
2. Ejecute el comando semanage port -l | grep -w http_port_t para conocer los puertos que SELinux le permite escuchar a httpd: # semanage port -l | grep -w http_port_t http_port_t 488,8008, 8009, 8443 3. Edite el archivo /etc/httpd/conf/httpd.conf como usuario root. Configure la opciónListen de modo que liste los puertos que no están configurados en el archivo de configuración de políticas SELinux para httpd. En nuestro ejemplo, httpd se encuentra configurado para escuchar el puerto 12345: # Change this to Listen on specific IP addresses as shown below to # prevent Apache fromglomming onto all bound IP addresses (0.0.0.0) # #Listen 12.34.56.78:80 Listen 127.0.0.1:12345 4. Ejecute el comando service httpd start para iniciar httpd: # service httpd start Starting httpd: (13)Permission denied: make_sock: could not bind to address 127.0.0.1:12345 no listening sockets available, shutting down Unable to open logs [FAILED] Una negación de SELinux similar a la siguiente seencuentra registrada en el archivo/var/log/messages: setroubleshoot: SELinux is preventing the httpd (httpd_t) from binding to port 12345. For complete SELinux messages. run sealert -l f18bca99-db64-4c169719-1db89f0d8c77 tcp 80, 443,
5. PAra que SELinux permita a httpd escuchar en el puerto 12345, tal como en nuestro ejemplo, el necesario ejecutar el siguiente comando: # semanage port -a -thttp_port_t -p tcp 12345
6. Ejecute nuevamente el comando service httpd start para iniciar httpd, y hacer que escuche sobre el nuevo puerto: # service httpd start Starting httpd: [ OK ] 7. Ahora que SELinux ha sido configurado para permitir que httpd escuche en un puerto no estándar (TCP 12345 en nuestro ejemplo), httpd se inicia exitosamente en dicho puerto. 8. Para verificar que httpd estéescuchando y comunicándose con el puerto TCP 12345, inicie una conexión telnet en el puerto específico y envié un comando HTTP GET de la siguiente manera: # telnet localhost 12345 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. GET / HTTP/1.0 HTTP/1.1 200 OK Date: Tue, 31 Mar 2009 13:12:10 GMT Server: Apache/2.2.11 (Fedora) Accept-Ranges: bytes ContentLength: 3918 Content-Type:...
HTTP Selinux
1. Ejecute el comando getenforce para confirmar que SELinux esté ejecutándose en modo obligatorio: $ getenforce Enforcing El comando getenforce devuelve el resultado Enforcing cuando SELinux se esté ejecutando en modo obligatorio. 2. Ejecute el comando service httpd start como usuario root para iniciar httpd: # service httpd start Starting httpd:[ OK ]
3. Ejecute el comando ps -eZ | grep httpd para observar los procesos httpd: $ ps -eZ | grep httpd unconfined_u:system_r:httpd_t:s0 2850 ? httpd unconfined_u:system_r:httpd_t:s0 2852 ? unconfined_u:system_r:httpd_t:s0 2853 ? 3unconfined_u:system_r:httpd_t:s0 2854 ? unconfined_u:system_r:httpd_t:s0 2855 ? unconfined_u:system_r:httpd_t:s0 2856 ? unconfined_u:system_r:httpd_t:s0 2857 ?unconfined_u:system_r:httpd_t:s0 2858 ? unconfined_u:system_r:httpd_t:s0 2859 ? 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00 httpd 00:00:00
El ejemplo que ofrecemos a continuación demuestra como configurar httpd para que escuchar sobre un puerto que no se encuentre definido en las políticas de SELinux para httpd, y cuyaconsecuencia es que httpd no pueda iniciarse. Además, nuestro ejemplo muestra como configurar luego el sistema SElinux para permitir quehttpd escuche exitosamente un puerto no estándar que no se encuentre todavía definido en la política.
Estos ejemplos presuponen que el paquete httpd se encuentra instalado. Ejecute cada comando como usuario root: 1. Ejecute el comando service httpd status paraconfirmar que httpd no esté ejecutándose: # service httpd status httpd is stopped Si la salida es diferente, ejecute el comando service httpd stop para detener el proceso: # service httpd stop Stopping httpd: [ OK ]
2. Ejecute el comando semanage port -l | grep -w http_port_t para conocer los puertos que SELinux le permite escuchar a httpd: # semanage port -l | grep -w http_port_t http_port_t 488,8008, 8009, 8443 3. Edite el archivo /etc/httpd/conf/httpd.conf como usuario root. Configure la opciónListen de modo que liste los puertos que no están configurados en el archivo de configuración de políticas SELinux para httpd. En nuestro ejemplo, httpd se encuentra configurado para escuchar el puerto 12345: # Change this to Listen on specific IP addresses as shown below to # prevent Apache fromglomming onto all bound IP addresses (0.0.0.0) # #Listen 12.34.56.78:80 Listen 127.0.0.1:12345 4. Ejecute el comando service httpd start para iniciar httpd: # service httpd start Starting httpd: (13)Permission denied: make_sock: could not bind to address 127.0.0.1:12345 no listening sockets available, shutting down Unable to open logs [FAILED] Una negación de SELinux similar a la siguiente seencuentra registrada en el archivo/var/log/messages: setroubleshoot: SELinux is preventing the httpd (httpd_t) from binding to port 12345. For complete SELinux messages. run sealert -l f18bca99-db64-4c169719-1db89f0d8c77 tcp 80, 443,
5. PAra que SELinux permita a httpd escuchar en el puerto 12345, tal como en nuestro ejemplo, el necesario ejecutar el siguiente comando: # semanage port -a -thttp_port_t -p tcp 12345
6. Ejecute nuevamente el comando service httpd start para iniciar httpd, y hacer que escuche sobre el nuevo puerto: # service httpd start Starting httpd: [ OK ] 7. Ahora que SELinux ha sido configurado para permitir que httpd escuche en un puerto no estándar (TCP 12345 en nuestro ejemplo), httpd se inicia exitosamente en dicho puerto. 8. Para verificar que httpd estéescuchando y comunicándose con el puerto TCP 12345, inicie una conexión telnet en el puerto específico y envié un comando HTTP GET de la siguiente manera: # telnet localhost 12345 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. GET / HTTP/1.0 HTTP/1.1 200 OK Date: Tue, 31 Mar 2009 13:12:10 GMT Server: Apache/2.2.11 (Fedora) Accept-Ranges: bytes ContentLength: 3918 Content-Type:...
Leer documento completo
Regístrate para leer el documento completo.