Santé & Performance
Surveillance de la disponibilité du site Web
Surveillez la disponibilité HTTP, HTTPS, DNS, UDP, TCP, email et plus.
Surveillance des Performances de Sites Web
Surveillez la performance complète du site en le chargeant avec un vrai navigateur Chrome.
Surveillance des Utilisateurs Réels (RUM)
Surveillez la vitesse de l'expérience utilisateur pour les visiteurs de votre site.
Opérations
Surveillance des Transactions sur Site Web
Surveillez les transactions multi-étapes et soyez alerté en cas de problème.
Surveillance de l'Expiration des Domaines
Surveillez l'expiration de vos domaines.
Page de Statut Publique
Affichez les mises à jour opérationnelles en temps réel de votre site au public.
Sécurité
Surveillance des Certificats SSL
Surveillez le certificat SSL de votre site.
Surveillance des Virus sur Sites Web
Nouveau
Soyez alerté si votre site est infecté par des virus ou malwares.
Prêt à commencer ? Inscrivez-vous gratuitement
Ressources
Apprendre
Apprenez sur divers sujets liés à la surveillance, maintenance et développement de sites web.
Questions
Trouvez des réponses aux questions courantes sur la surveillance, maintenance et développement de sites web.
Informations Produit
Blog
Informations utiles pour nos clients sur nos mises à jour et actualités produit.
Prêt à commencer ? Inscrivez-vous gratuitement

Comment permettre à Apache de se lier à des ports non standard dans SELinux ?

Accueil  »  Questions  »  Comment permettre à Apache de se lier à des ports non standard dans SELinux ?
Publié 8 septembre 2024

Problème : Apache se liant à des ports non standard avec SELinux

SELinux peut empêcher Apache de se lier à des ports non standard, ce qui limite les options de configuration du serveur. Cette fonctionnalité de sécurité peut poser problème lorsque vous souhaitez configurer Apache pour écouter sur des ports personnalisés pour des applications ou des services web spécifiques.

Résolution du problème de liaison de port Apache

Utilisation de semanage pour modifier les règles de port SELinux

Pour résoudre le problème de liaison de port Apache avec SELinux, utilisez l'outil semanage. Cet outil vous permet de modifier les règles de port SELinux et d'ajouter de nouveaux ports à la configuration SELinux.

Installez les outils nécessaires :

sudo yum -y install policycoreutils-python

Cette commande installe le paquet policycoreutils-python, qui inclut l'outil semanage.

Pour ajouter un nouveau port à la configuration SELinux, utilisez cette commande :

sudo semanage port -a -t http_port_t -p tcp [NUMÉRO_DE_PORT]

Remplacez [NUMÉRO_DE_PORT] par le port que vous souhaitez autoriser pour Apache.

Conseil: Vérifier l'ajout du port

Après avoir ajouté un nouveau port, vous pouvez vérifier s'il a été ajouté avec succès à la configuration SELinux en exécutant :

sudo semanage port -l | grep http_port_t

Cette commande listera tous les ports associés au type http_port_t, y compris votre port nouvellement ajouté.

Solution étape par étape

  1. Vérifiez les paramètres de port SELinux actuels : Pour voir les paramètres de port SELinux actuels pour Apache, exécutez :

    sudo semanage port -l | grep http_port_t

    Cette commande liste tous les ports autorisés pour Apache.

  2. Ajoutez le nouveau port aux règles SELinux : Utilisez la commande semanage pour ajouter le nouveau port. Par exemple, pour ajouter le port 88 :

    sudo semanage port -a -t http_port_t -p tcp 88

  3. Redémarrez le service Apache : Après avoir ajouté le nouveau port, redémarrez Apache pour appliquer les changements :

    sudo systemctl restart httpd

Considérations supplémentaires

Modifications temporaires vs permanentes des règles SELinux

Utilisation de semanage pour des changements permanents : La commande semanage effectue des modifications permanentes aux règles SELinux. Ces changements restent actifs après les redémarrages du système. Cette méthode convient bien aux configurations à long terme où Apache doit se lier à des ports non standard spécifiques.

Options pour des changements temporaires : Pour des changements temporaires, vous pouvez utiliser la commande 'setenforce' pour mettre SELinux en mode permissif :

sudo setenforce 0

Cette commande désactive temporairement l'application de SELinux, permettant à Apache de se lier à n'importe quel port. Ce paramètre revient au mode d'application par défaut après un redémarrage du système.

Conseil: Risque de sécurité

Passer SELinux en mode permissif réduit la sécurité du système. Utilisez cette méthode uniquement pour des tests et évitez-la en production.

Implications en matière de sécurité

Équilibrer facilité et sécurité : L'ajout de ports non standard aux règles SELinux pour Apache offre plus d'options mais peut réduire la sécurité. Chaque port ajouté augmente le risque de menaces. Comparez toujours les avantages de l'utilisation de ports non standard avec le risque de sécurité accru.

Bonnes pratiques pour l'utilisation de ports non standard :

  1. N'ajoutez que les ports dont vos applications ont besoin.
  2. Vérifiez régulièrement vos paramètres de port SELinux pour supprimer les ports inutilisés.
  3. Utilisez des règles de pare-feu strictes pour limiter l'accès aux ports non standard.
  4. Surveillez les journaux pour détecter toute activité inhabituelle sur ces ports.
  5. Maintenez à jour votre serveur Apache et les logiciels associés pour réduire les risques potentiels.

Approches alternatives

Utilisation d'Apache avec différents contextes SELinux

Modification du contexte SELinux pour Apache : Vous pouvez modifier le contexte SELinux pour Apache au lieu de modifier les règles de port SELinux. Cette méthode implique de donner un contexte SELinux différent au processus Apache, lui permettant de se lier à différents ports.

Pour modifier le contexte SELinux pour Apache :

  1. Créez un module de politique SELinux personnalisé :

    ausearch -c 'httpd' --raw | audit2allow -M my-httpd

  2. Chargez le nouveau module de politique :

    semodule -i my-httpd.pp

Avantages de cette méthode :

  • Apache peut se lier à n'importe quel port sans modifier les règles de port individuelles.
  • Elle offre une solution flexible pour des configurations complexes.

Inconvénients de cette méthode :

  • Elle peut accorder plus de permissions que nécessaire, ce qui pourrait réduire la sécurité.
  • Elle nécessite une connaissance avancée des politiques SELinux.
  • La résolution des problèmes peut être plus difficile si des problèmes surviennent.

Conseil: Vérifier le contexte SELinux

Après avoir modifié le contexte SELinux pour Apache, vérifiez le nouveau contexte en utilisant la commande suivante :

ps auxZ | grep httpd

Cela affichera le contexte SELinux associé au processus Apache, vous aidant à confirmer que les changements ont été appliqués correctement.

Désactivation de SELinux (Non recommandé)

Pourquoi désactiver SELinux est risqué : Désactiver SELinux supprime une couche de sécurité clé de votre système. Cela rend votre serveur plus vulnérable aux attaques et aux exploits. Certains risques incluent :

  • Risque accru d'attaques par élévation de privilèges
  • Moins de protection contre les malwares et les accès non autorisés
  • Perte des journaux d'audit qui aident à détecter et à enquêter sur les problèmes de sécurité
  • Violations potentielles de conformité pour les systèmes nécessitant SELinux

Situations où cela pourrait être envisagé : Bien que ce ne soit pas recommandé, il existe de rares cas où vous pourriez envisager de désactiver SELinux temporairement :

  • Lors du dépannage initial pour identifier les problèmes liés à SELinux
  • Dans des environnements de test contrôlés pour des tests d'applications spécifiques
  • Lors de l'exécution d'anciennes applications incompatibles avec SELinux et ne pouvant pas être modifiées

Si vous devez désactiver SELinux, faites-le uniquement pour une courte durée et réactivez-le dès que possible. Pour désactiver SELinux, modifiez le fichier /etc/selinux/config et définissez SELINUX=disabled, puis redémarrez le système.

Conseil: Risque de sécurité

Désactiver SELinux réduit considérablement la sécurité de votre système. Cherchez toujours d'autres solutions avant d'envisager cette option, surtout dans des environnements de production.

Soyez alerté quand votre site tombe
Surveillance de disponibilité et vitesse
Surveillance de transactions multi-étapes
Surveillance de certificats SSL
Surveillance virus et malwares
Pages de statut et alertes d'incidents
Ressources
Tarifs
Blog
Apprendre
Questions
Points de contrôle
Contact
Feuille de route publique
Plan du site
Documentation API
Produits
Surveillance de la disponibilité
Surveillance des performances
Surveillance des transactions
Surveillance des utilisateurs réels
Surveillance SSL
Surveillance des domaines
Page de statut publique
Surveillance des virus
Nouveau
Outils
Test de disponibilité
Calculateur de disponibilité
Générateur d'expression cron
Descripteur d'expression cron
Convertisseur Hex vers RGB
Convertisseur RGB vers Hex
Voir tous les outils
Mentions légales
Politique de confidentialité
Politique des cookies
Conditions générales
RGPD
© 2015-2024 Uptimia. Tous droits réservés.
Français Français
English English
Deutsch Deutsch
Français Français