Skocz do zawartości

Konfiguracja Sshd


motorola

Rekomendowane odpowiedzi

witam,

 

mam problem z utworzeniem nasluchu na porcie 443.

prawie wszystko, szczegolnie na poczatku w sshd_config jest wykomentowane (#).

 

Kiedy odkomentuje i wpisze moj port(443), a nastepnie przerestartuje demona, dostaje taki komunikat z SELinux:

 

Summary:

 

SELinux is preventing sshd (sshd_t) "name_bind" http_port_t.

 

Detailed Description:

 

SELinux denied access requested by sshd. It is not expected that this access is

required by sshd and this access may signal an intrusion attempt. It is also

possible that the specific version or configuration of the application is

causing it to require additional access.

 

Allowing Access:

 

You can generate a local policy module to allow this access - see FAQ

(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable

SELinux protection altogether. Disabling SELinux protection is not recommended.

Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)

against this package.

 

Additional Information:

 

Source Context unconfined_u:system_r:sshd_t:s0-s0:c0.c1023

Target Context system_u:object_r:http_port_t:s0

Target Objects None [ tcp_socket ]

Source sshd

Source Path /usr/sbin/sshd

Port 443

Host AAAAAA

Source RPM Packages openssh-server-5.2p1-2.fc11

Target RPM Packages

Policy RPM selinux-policy-3.6.12-85.fc11

Selinux Enabled True

Policy Type targeted

MLS Enabled True

Enforcing Mode Enforcing

Plugin Name catchall

Host Name AAAAAA

Platform Linux AAAAAA 2.6.30.9-90.fc11.i586 #1 SMP Sat Oct 17

11:09:52 EDT 2009 i686 athlon

Alert Count 2

First Seen Wed 25 Nov 2009 10:30:13 PM CET

Last Seen Wed 25 Nov 2009 10:30:13 PM CET

Local ID 4e8c4441-b36e-49d9-bc4e-AAAAAAAAAAA

Line Numbers

 

Raw Audit Messages

 

node=AAAAAA type=AVC msg=audit(1259184613.554:693): avc: denied { name_bind } for pid=6553 comm="sshd" src=443 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket

 

node=AAAAAA type=SYSCALL msg=audit(1259184613.554:693): arch=40000003 syscall=102 success=no exit=-13 a0=2 a1=bf81c450 a2=4a12a8 a3=c2f250 items=0 ppid=1 pid=6553 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=8 comm="sshd" exe="/usr/sbin/sshd" subj=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 key=(null)

 

 

ma ktos jakis pomysl, co to moze byc?

z gory dzieki

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

witam,

 

mam problem z utworzeniem nasluchu na porcie 443.

prawie wszystko, szczegolnie na poczatku w sshd_config jest wykomentowane (#).

 

Kiedy odkomentuje i wpisze moj port(443), a nastepnie przerestartuje demona, dostaje taki komunikat z SELinux:

 

(...)

 

node=AAAAAA type=AVC msg=audit(1259184613.554:693): avc: denied { name_bind } for pid=6553 comm="sshd" src=443 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket

 

node=AAAAAA type=SYSCALL msg=audit(1259184613.554:693): arch=40000003 syscall=102 success=no exit=-13 a0=2 a1=bf81c450 a2=4a12a8 a3=c2f250 items=0 ppid=1 pid=6553 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=8 comm="sshd" exe="/usr/sbin/sshd" subj=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 key=(null)

 

 

ma ktos jakis pomysl, co to moze byc?

z gory dzieki

 

Generalnie sytuacja dziwna, choć nie mam pod ręką fedory, tylko rhel51 (tam działa ssh na porcie 443 bez modyfikacji selinuksa). ale...

Więc potrzebujesz dodać do polityki, aby sshd (sshd_t) mogło zrobić name_bind (nasłuchiwać) na porcie 443:tcp (http_port_t), lub zmienić context portu 443:tcp na taki z którym sshd (sshd_t) może robić name_bind.

Zrób tak:

semanage port -l | grep ssh

dowiesz się, że port 22:tcp (na którym standardowo słucha ssh) ma context ssh_port_t, więc robisz:

semanage port -a -t ssh_port_t -p tcp 443

 

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

cat /etc/services |grep -i https

Jak wczesniej napisal qmic jaki jest glebszy sens uzywania portu zarezerwowanego dla szyfrowanej komunikacji http przez ssh

Ludzie nie wywracajcie do gory nogami pewnych standardow

 

 

bo mam wiekszosc portow zablokowanych na wyjsciu w pracy?

- na 443 nikt, nic nie widzi co sobie tam robie.

 

wylaczylem tego selinuxa i smiga super.

 

 

ale, Artur S, dzieki za porade, zaraz sprawdze jak to zadziala.

Odnośnik do komentarza
Udostępnij na innych stronach

Piszesz ze masz powylaczane porty tylko 443 masz otwarty

Znowu piszesz ze chesz prowadzic nasluch na 443

Zeby miec mozliwosc cokolwiek robic na portach < 1024 musisz miec prawa roota powyzej juz nie musisz

Z tego co piszesz to masz prawa roota jezeli sobie wylaczasz selinuksa.

Ok jest jeszcze kwestia jakiegos tam routerka(jezeli jest) jezeli przyjmujac ze do routera nie masz dostepu to jak sobie chcesz przekierowac do stacji port 443 ?

Cos krecisz. Napisz jak wyglada twoj schemat sieci i po kolei co chcesz uzyskac bo szczerze nie wiem po co takie akrobacje

Odnośnik do komentarza
Udostępnij na innych stronach

  • 7 months later...

Chciałbym podpiąć się pod temat - czy jest możliwość zmuszenia Selinuxa, aby pozwolił uruchomić serwer ssh na porcie 443? Pomysł może idiotyczny jak to ktoś napisał, ale podobnie w przypadku kolegi "motorola" jest to jedyny, poza 80, port przez który moge wyjść "na miasto".

Wiem, że mogę wyłączyć Selinuxa i będzie po sprawie, niemniej jednak może się da dodać port 443?

Aha - i żeby nie było wątpliwości: w domu mam komputer z zainstalowanym systemem Fedora 13, w pracy mam M$ WXP i chciałbym połączyć się z pracy do domu przez Putty - koniecznie na porcie 443.

 

polecenie :

sudo semanage port -a -t ssh_port_t -p tcp 443

 

powoduje tylko:

/usr/sbin/semanage: Port tcp/443 został już określony

Odnośnik do komentarza
Udostępnij na innych stronach

Odpowiadam po raz kolejny - jak już napisałem - w pracy mam Windowsa i mogę wyjść jedynie przez port 80 i 443. Każyd inny port blokuje mi firewall w pracy do którego nie mam dostępu. Dlatego chcę 443! A ponadto w pracy mam Web Filter który blokuje mi różne ciekawe strony np. allegro i dlatego chcę mieć stworzony tunel SSH.

Czy jeśli usunę z selinuxa port 443 do https'a i dodam go do ssh będzie OK? Znaczy się jeszcze nie wiem czy umiem to zrobić ale mogę pokombinować ;)

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...