Centos Httpd isteğinin Selinux(setenforce) tarafından remote bağlantıları engellemesini nasıl önleriz?

Tweet 15.10.2022 16:18:28

centos selinux enforce remote db unblocked

Selam

Bir proje için web ve db ayrı sunucularda geliştirme işinde web sunucusunda db ye remote bağlantıda yaşadığım bir problemin nasıl çözüldüğü anlatacağım. İkisi sunucu da centos7 ve güvenlik ilkesi için selinux aktif.

İnternetten araştırdığımız bazı kaynaklara göre selinux, setenforce=0 olarak selinux u disable edip çözümün bulunduğu yazılıyordu. Bu gerçekten işe yaradı, evet selinux'u disable edince uzak db sunucusuna bağlantı sağladık. Ancak selinux'un disable edilmesi national security agency tarafından önerilmiyor. Bu ciddi bir güvenlik açığı olabilir.

Sorunun temel ve sağlıklı çözümü aslında selinux'u disable etmeden gerekli policyleri eklemek.

setsebool -P httpd_can_network_connect 1
setsebool -P httpd_can_network_connect_db 1

Bu policyleri eklediğinizde artık 2 sunucu arasında istek yapmak istediğiniz remote db connection'u sağlayabilirsiniz.