SElinux: autoriser httpd à se connecter à un port spécifique

Par défaut, la politique SELinux autorise uniquement l'accès aux services aux ports reconnus associés à ces services:

# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Cannot connect to redis server.

- ajouter le port Redis (6379) à la politique SELinux

# semanage port -a -t http_port_t -p tcp 6379
# semanage port -l | egrep '(^http_port_t|6379)'
http_port_t                    tcp      6379, 80, 81, 443, 488, 8008, 8009, 8443, 9000
# curl http://localhost/redis.php
Connected successfully.

Vous pouvez également installer setroubleshoot-server RPM et exécution: sealert -a /var/log/audit/audit.log - il vous donnera un joli rapport avec des suggestions utiles (y compris la commande ci-dessus).

Script PHP pour tester la connexion:

# cat redis.php 
<?php

$redis=new Redis();
$connected= $redis->connect('127.0.0.1', 6379);

if(!$connected) {
        die( "Cannot connect to redis server.\n" );
}

echo "Connected successfully.\n";

?>

Vous devrez peut-être utiliser

semanage port -m -t http_port_t -p tcp 6379

Si le semanage est manquant, ajoutez le package policycoreutils-python

yum install policycoreutils-python

Vous pouvez temporairement mettre selinux en mode permissif et laisser httpd se connecter à redis, puis générer et créer un module de stratégie personnalisé en utilisant audit2allow