Estoy en el proceso de habilitar SELinux en mi servidor CentOS 7.3. Lo tengo configurado en modo permisivo y monitoreando el registro de auditoría en busca de denegaciones. Estoy buscando implementar el conjunto mínimo de reglas que permitirá todo lo que se necesita en el servidor y nada más.
Entonces, esta mañana noté que a httpd se le habría bloqueado la conexión a la red cuando usé la función de actualización FTP de WordPress la noche anterior. audit2why
recomienda configurar httpd_can_network_relay
o httpd_can_network_connect
.
Solo quiero asegurarme de que estoy entendiendo la diferencia entre estos dos correctamente. ¿Sería exacto decir que httpd_can_network_connect
le permite a httpd realizar la conexión de red que desee, mientras que httpd_can_network_relay
solo permite el puerto FTP y los puertos efímeros?
audit2why
dice:
# setsebool -P httpd_can_network_connect 1
Description: Allow httpd to act as a relay
# setsebool -P httpd_can_network_relay 1
Description: Allow httpd to act as a FTP client connecting to the ftp port and ephemeral ports
Si es así, ¿cómo sería definir qué son los puertos efímeros, o simplemente permitiría algo más de 1024?
¿Hay alguna referencia más detallada sobre todo esto que me estoy perdiendo?
Actualizar
He leído mal el orden de los comentarios a los comandos, lo anterior debe leer:
Description: Allow HTTPD scripts and modules to connect to the network using TCP.
# setsebool -P httpd_can_network_connect 1
Description: Allow httpd to act as a relay
# setsebool -P httpd_can_network_relay 1