Comment configurer SELinux pour autoriser les connexions sortantes à partir d'un script CGI?

10

Je migre vers un nouveau serveur Web qui a configuré SELinux (exécutant Centos 5.5). Je l'ai configuré pour qu'il puisse exécuter des scripts CGI sans problème, mais certains des scripts plus anciens basés sur Perl ne parviennent pas à se connecter à des services Web distants (flux RSS et autres).

Fonctionnement: grep perl /var/log/audit/audit.logdonne:

type = SYSCALL msg = audit (1299612513.302: 7650): arch = 40000003 syscall = 102 success = no exit = -13 a0 = 3 a1 = bfb3eb90 a2 = 57c86c a3 = 10 items = 0 ppid = 22342 pid = 22558 auid = 0 uid = 48 gid = 48 euid = 48 suid = 48 fsuid = 48 egid = 48 sgid = 48 fsgid = 48 tty = (none) ses = 235 comm = "index.cgi" exe = "/ usr / bin / perl" subj = racine: system_r: httpd_sys_script_t: s0 key = (null)

Au fur et à mesure de mon cours intensif dans SELinux, il semble qu'il refuse activement la connexion sortante, mais comment la configurer pour permettre aux scripts CGI d'effectuer des demandes sortantes?

Rowland Shaw
la source

Réponses:

20

Vous devez probablement activer le booléen httpd_can_network_connect SELinux:

Exécuter en tant que root:

# setsebool -P httpd_can_network_connect 1
jsbillings
la source