那些遇到过的问题

SELinux 端口“在策略中定义,无法删除”

spr*_*aff 8 selinux

我对这个问题的答案并不满意:

$> sudo semanage port -d -p tcp -t foo...
ValueError: Port foo is defined in policy, cannot be deleted
Run Code Online (Sandbox Code Playgroud)

接受的答案是

SELinux 策略包括端口的定义...无需删除它们。

无需删除它们。好吧,但我还是想删除它们——我希望端口的 SELinux 可用性与端口的实际可用性相匹配,只是为了保持一致性。

如何获取semanage port -d策略中定义的端口?(在我的例子中,ssh。)

daw*_*wud 3

您的选择是构建您自己的 SSH 策略模块,删除标记端口的部分。

由于您现在可以加载指定优先级的策略模块,因此您的自定义模块将具有更高的优先级。检查手册页-X,--priority=PRIORITY中的标志semodule以获取详细信息。

根据记录,我同意 Michael Hampton 的观点,即无需从策略中删除该端口。它根本不会增加系统的安全性,因为有多种方法可以增加或放松 SSH 服务器的安全性(如 SELinux 相关的)管理,即:首先删除 OpenSSH 服务器,标记流量,或者,从另一个方向,将 SSH 服务器置于许可域中

归档时间:

查看次数:

9542 次

最近记录:

6 年 前
相关归档
SElinux:允许 httpd 连接到特定端口 45
禁用/启用 SELinux 的原因 41
CentOS 6 kickstart 忽略“selinux --disabled” 8
如何使用 SELinux 限制 PHP 脚本? 8
CentOS 7 - 通过 VSFTPD 创建的目录不继承 SELinux 上下文 8
SELinux:拒绝 { 执行 } for pid=2174 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" 5
SELinux:如何允许 apache、samba 和 tomcat 访问同一文件 5
apache ldap ssl 的 SELinux 上下文 4
PHP 不在特定目录上运行 2
什么是 soundd 守护进程,为什么 nginx 需要 SELinux 下的类型? 2
难疑归档
您如何对网站进行负载测试和容量规划? 122
如何修复 PuTTY 显示乱码? 92
当源文件不存在时,如何让“cp”命令不触发错误? 84
如何在 Debian 上列出我的开放端口? 74
允许 SCP 但不允许使用 SSH 实际登录 68
阻止 IP 地址范围 65
服务器机房的正确温度是多少? 63
xvda1 已 100% 满,这是什么?怎么修? 63
Windows 相当于 iptables? 63
如何忽略 Powershell 中的错误并让它继续? 56