motorola Napisano Listopad 25, 2009 Zgłoszenie Share Napisano Listopad 25, 2009 witam, mam problem z utworzeniem nasluchu na porcie 443. prawie wszystko, szczegolnie na poczatku w sshd_config jest wykomentowane (#). Kiedy odkomentuje i wpisze moj port(443), a nastepnie przerestartuje demona, dostaje taki komunikat z SELinux: Summary: SELinux is preventing sshd (sshd_t) "name_bind" http_port_t. Detailed Description: SELinux denied access requested by sshd. It is not expected that this access is required by sshd and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Allowing Access: You can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Additional Information: Source Context unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 Target Context system_u:object_r:http_port_t:s0 Target Objects None [ tcp_socket ] Source sshd Source Path /usr/sbin/sshd Port 443 Host AAAAAA Source RPM Packages openssh-server-5.2p1-2.fc11 Target RPM Packages Policy RPM selinux-policy-3.6.12-85.fc11 Selinux Enabled True Policy Type targeted MLS Enabled True Enforcing Mode Enforcing Plugin Name catchall Host Name AAAAAA Platform Linux AAAAAA 2.6.30.9-90.fc11.i586 #1 SMP Sat Oct 17 11:09:52 EDT 2009 i686 athlon Alert Count 2 First Seen Wed 25 Nov 2009 10:30:13 PM CET Last Seen Wed 25 Nov 2009 10:30:13 PM CET Local ID 4e8c4441-b36e-49d9-bc4e-AAAAAAAAAAA Line Numbers Raw Audit Messages node=AAAAAA type=AVC msg=audit(1259184613.554:693): avc: denied { name_bind } for pid=6553 comm="sshd" src=443 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket node=AAAAAA type=SYSCALL msg=audit(1259184613.554:693): arch=40000003 syscall=102 success=no exit=-13 a0=2 a1=bf81c450 a2=4a12a8 a3=c2f250 items=0 ppid=1 pid=6553 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=8 comm="sshd" exe="/usr/sbin/sshd" subj=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 key=(null) ma ktos jakis pomysl, co to moze byc? z gory dzieki Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
qmic Napisano Listopad 25, 2009 Zgłoszenie Share Napisano Listopad 25, 2009 Co za idiotyczny pomysł uruchamiania ssh na porcie 443? Poza tym jest napisane abyś przeczytał FAQ i nawet link do tego. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość Napisano Listopad 26, 2009 Zgłoszenie Share Napisano Listopad 26, 2009 witam, mam problem z utworzeniem nasluchu na porcie 443. prawie wszystko, szczegolnie na poczatku w sshd_config jest wykomentowane (#). Kiedy odkomentuje i wpisze moj port(443), a nastepnie przerestartuje demona, dostaje taki komunikat z SELinux: (...) node=AAAAAA type=AVC msg=audit(1259184613.554:693): avc: denied { name_bind } for pid=6553 comm="sshd" src=443 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket node=AAAAAA type=SYSCALL msg=audit(1259184613.554:693): arch=40000003 syscall=102 success=no exit=-13 a0=2 a1=bf81c450 a2=4a12a8 a3=c2f250 items=0 ppid=1 pid=6553 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=8 comm="sshd" exe="/usr/sbin/sshd" subj=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 key=(null) ma ktos jakis pomysl, co to moze byc? z gory dzieki Generalnie sytuacja dziwna, choć nie mam pod ręką fedory, tylko rhel51 (tam działa ssh na porcie 443 bez modyfikacji selinuksa). ale... Więc potrzebujesz dodać do polityki, aby sshd (sshd_t) mogło zrobić name_bind (nasłuchiwać) na porcie 443:tcp (http_port_t), lub zmienić context portu 443:tcp na taki z którym sshd (sshd_t) może robić name_bind. Zrób tak: semanage port -l | grep ssh dowiesz się, że port 22:tcp (na którym standardowo słucha ssh) ma context ssh_port_t, więc robisz: semanage port -a -t ssh_port_t -p tcp 443 Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hello_world Napisano Listopad 27, 2009 Zgłoszenie Share Napisano Listopad 27, 2009 cat /etc/services |grep -i https Jak wczesniej napisal qmic jaki jest glebszy sens uzywania portu zarezerwowanego dla szyfrowanej komunikacji http przez ssh Ludzie nie wywracajcie do gory nogami pewnych standardow Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
motorola Napisano Listopad 27, 2009 Autor Zgłoszenie Share Napisano Listopad 27, 2009 cat /etc/services |grep -i https Jak wczesniej napisal qmic jaki jest glebszy sens uzywania portu zarezerwowanego dla szyfrowanej komunikacji http przez ssh Ludzie nie wywracajcie do gory nogami pewnych standardow bo mam wiekszosc portow zablokowanych na wyjsciu w pracy? - na 443 nikt, nic nie widzi co sobie tam robie. wylaczylem tego selinuxa i smiga super. ale, Artur S, dzieki za porade, zaraz sprawdze jak to zadziala. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hello_world Napisano Listopad 27, 2009 Zgłoszenie Share Napisano Listopad 27, 2009 Piszesz ze masz powylaczane porty tylko 443 masz otwarty Znowu piszesz ze chesz prowadzic nasluch na 443 Zeby miec mozliwosc cokolwiek robic na portach < 1024 musisz miec prawa roota powyzej juz nie musisz Z tego co piszesz to masz prawa roota jezeli sobie wylaczasz selinuksa. Ok jest jeszcze kwestia jakiegos tam routerka(jezeli jest) jezeli przyjmujac ze do routera nie masz dostepu to jak sobie chcesz przekierowac do stacji port 443 ? Cos krecisz. Napisz jak wyglada twoj schemat sieci i po kolei co chcesz uzyskac bo szczerze nie wiem po co takie akrobacje Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
lesmly Napisano Lipiec 25, 2010 Zgłoszenie Share Napisano Lipiec 25, 2010 Chciałbym podpiąć się pod temat - czy jest możliwość zmuszenia Selinuxa, aby pozwolił uruchomić serwer ssh na porcie 443? Pomysł może idiotyczny jak to ktoś napisał, ale podobnie w przypadku kolegi "motorola" jest to jedyny, poza 80, port przez który moge wyjść "na miasto". Wiem, że mogę wyłączyć Selinuxa i będzie po sprawie, niemniej jednak może się da dodać port 443? Aha - i żeby nie było wątpliwości: w domu mam komputer z zainstalowanym systemem Fedora 13, w pracy mam M$ WXP i chciałbym połączyć się z pracy do domu przez Putty - koniecznie na porcie 443. polecenie : sudo semanage port -a -t ssh_port_t -p tcp 443 powoduje tylko: /usr/sbin/semanage: Port tcp/443 został już określony Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hello_world Napisano Lipiec 26, 2010 Zgłoszenie Share Napisano Lipiec 26, 2010 Boże jaki masz problem jezeli masz uprawnienia roota. Pytam kolejny raz po co komplikujecie sobie zycie i uczepiliscie sie tego portu. Ustaw inny port na firewallu aby mógł wychodzic i bedzie po sprawie. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
lesmly Napisano Lipiec 26, 2010 Zgłoszenie Share Napisano Lipiec 26, 2010 Odpowiadam po raz kolejny - jak już napisałem - w pracy mam Windowsa i mogę wyjść jedynie przez port 80 i 443. Każyd inny port blokuje mi firewall w pracy do którego nie mam dostępu. Dlatego chcę 443! A ponadto w pracy mam Web Filter który blokuje mi różne ciekawe strony np. allegro i dlatego chcę mieć stworzony tunel SSH. Czy jeśli usunę z selinuxa port 443 do https'a i dodam go do ssh będzie OK? Znaczy się jeszcze nie wiem czy umiem to zrobić ale mogę pokombinować Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się