SELinux ngăn chặn kết nối clashd_port_t:tcp_socket

Chúng tôi có API Server (tomcat) có cấu hình clashAV để quét bất kỳ tệp nào được tải lên hệ thống.

cấu hình ClamAV sẽ yêu cầu máy chủ API kết nối với máy chủ ClamAV.

SELinux được bật trên cả hai máy chủ và bất cứ khi nào chúng tôi cố gắng tải tệp lên, chúng tôi sẽ gặp lỗi/ngoại lệ sau:

tomcat: quyền java.net.socketException bị từ chối (kết nối không thành công)

Lỗi này liên quan đến SELinux và đây là nhật ký kiểm tra cho sự từ chối này:

type=AVC msg=audit(1632293242.892:403): avc: bị từ chối { name_connect } for pid=2663 comm="http-nio-8780-e" dest=3310 scontext=system_u:system_r:tomcat_t:s0 tcontext=system_uSmiley Surprisedbject_r: Clamd_port_t:s0 tclass=tcp_socket cho phép=0

    Được gây ra bởi:
        Thiếu quy tắc cho phép thực thi loại (TE).

        Bạn có thể sử dụng audit2allow để tạo mô-đun có thể tải để cho phép quyền truy cập này.

Chúng tôi đã giải quyết vấn đề này bằng cách tạo chính sách tùy chỉnh SELinux bằng cách sử dụng Kiểm toán2Cho phép chỉ huy.

Tuy nhiên, chúng tôi cần biết liệu có cách nào khác để giải quyết vấn đề này bằng cách sử dụng SELinux Booleans hoặc bất kỳ thay đổi nhãn nào mà chúng tôi có thể áp dụng hay không.

Bạn có thể vui lòng tư vấn?

Cảm ơn

Nếu có một cách khác sau đó kiểm toán2why sẽ nói với bạn về nó.

Bạn cũng có thể thử chất bịt kín công cụ sẽ hiển thị các từ chối SELinux gần đây và cung cấp thông tin chi tiết.