लिनक्स सुरक्षा प्रणाली

एम्बेडेड, मोबाइल उपकरणहरू र सर्भरहरूमा लिनक्स ओएसको ठूलो सफलताको एउटा कारण कर्नेल, सम्बन्धित सेवाहरू र अनुप्रयोगहरूको उच्च स्तरको सुरक्षा हो। तर यदि नजिकबाट हेर्नुहोस् लिनक्स कर्नेलको वास्तुकलामा, त्यसोभए यसमा सुरक्षाको लागि जिम्मेवार वर्ग भेट्टाउन असम्भव छ। लिनक्स सुरक्षा उपप्रणाली कहाँ लुकेको छ र यसमा के समावेश छ?

लिनक्स सुरक्षा मोड्युल र SELinux मा पृष्ठभूमि

सेक्युरिटी एन्हान्स्ड लिनक्स भनेको लिनक्स प्रणालीहरूलाई सम्भावित खतराहरूबाट जोगाउन र परम्परागत युनिक्स सुरक्षा प्रणाली, विवेकी पहुँच नियन्त्रण (DAC) को कमजोरीहरू सच्याउन अनिवार्य र भूमिका-आधारित पहुँच मोडेलहरूमा आधारित नियमहरू र पहुँच संयन्त्रहरूको सेट हो। यो परियोजना अमेरिकी राष्ट्रिय सुरक्षा एजेन्सीको आन्द्राबाट सुरु भएको थियो, र यसलाई मुख्यतया ठेकेदारहरू सेक्योर कम्प्युटिङ कर्पोरेशन र MITER, साथै धेरै अनुसन्धान प्रयोगशालाहरूद्वारा विकसित गरिएको थियो।

लिनक्स सुरक्षा मोड्युल

लिनस टोरभाल्ड्सले नयाँ NSA विकासहरूको बारेमा धेरै टिप्पणीहरू गरे ताकि तिनीहरू मुख्य लाइन लिनक्स कर्नेलमा समावेश गर्न सकून्। उसले एक सामान्य वातावरण वर्णन गर्यो, वस्तुहरूसँग सञ्चालनहरू नियन्त्रण गर्न अवरोधकहरूको सेट र कर्नेल डेटा संरचनाहरूमा सम्बन्धित विशेषताहरू भण्डारण गर्न निश्चित सुरक्षा क्षेत्रहरूको सेटको साथ। यो वातावरण त्यसपछि लोड गर्न मिल्ने कर्नेल मोड्युलहरू द्वारा कुनै पनि इच्छित सुरक्षा मोडेल लागू गर्न प्रयोग गर्न सकिन्छ। LSM ले 2.6 मा लिनक्स कर्नेल v2003 मा पूर्ण रूपमा प्रवेश गर्यो।

LSM फ्रेमवर्कले डेटा संरचनाहरूमा गार्ड फिल्डहरू समावेश गर्दछ र कर्नेल कोडको महत्वपूर्ण बिन्दुहरूमा अवरोध कार्यहरू कल गर्दछ तिनीहरूलाई हेरफेर गर्न र पहुँच नियन्त्रण प्रदर्शन गर्न। यसले सुरक्षा मोड्युलहरू दर्ता गर्नका लागि कार्यक्षमता पनि थप्छ। /sys/kernel/security/lsm इन्टरफेसले प्रणालीमा सक्रिय मोड्युलहरूको सूची समावेश गर्दछ। LSM हुकहरू सूचीहरूमा भण्डार गरिएको छ जुन CONFIG_LSM मा निर्दिष्ट गरिएको क्रममा बोलाइन्छ। हुकहरूमा विस्तृत कागजातहरू हेडर फाइल समावेश/linux/lsm_hooks.h मा समावेश गरिएको छ।

LSM उपप्रणालीले स्थिर Linux कर्नेल v2.6 को समान संस्करणको साथ SELinux को पूर्ण एकीकरण पूरा गर्न सम्भव बनायो। लगभग तुरुन्तै, SELinux सुरक्षित लिनक्स वातावरणको लागि वास्तविक मानक बन्यो र सबैभन्दा लोकप्रिय वितरणहरूमा समावेश गरियो: RedHat Enterprise Linux, Fedora, Debian, Ubuntu।

SELinux शब्दावली

• पहिचान — SELinux प्रयोगकर्ता सामान्य युनिक्स/लिनक्स प्रयोगकर्ता आईडी जस्तै होइन; तिनीहरू एउटै प्रणालीमा सँगै रहन सक्छन्, तर सारमा पूर्ण रूपमा फरक छन्। प्रत्येक मानक लिनक्स खाता SELinux मा एक वा बढीसँग मेल खान्छ। SELinux पहिचान समग्र सुरक्षा सन्दर्भको अंश हो, जसले तपाइँ कुन डोमेनमा सामेल हुन सक्नुहुन्छ र नमिल्ने निर्धारण गर्दछ।
• डोमेनहरू - SELinux मा, डोमेन भनेको विषयको कार्यान्वयन सन्दर्भ हो, अर्थात् प्रक्रिया। डोमेनले प्रत्यक्ष रूपमा प्रक्रियामा भएको पहुँच निर्धारण गर्दछ। डोमेन मूलतया प्रक्रियाहरूले के गर्न सक्छ वा विभिन्न प्रकारका प्रक्रियाहरूसँग के गर्न सक्छ भन्ने सूची हो। डोमेनका केही उदाहरणहरू प्रणाली प्रशासनका लागि sysadm_t, र user_t जुन सामान्य गैर-विशेषाधिकार प्राप्त प्रयोगकर्ता डोमेन हो। init प्रणाली init_t डोमेनमा चल्छ, र नामित प्रक्रिया name_t डोमेनमा चल्छ।
• भूमिकाहरू - डोमेन र SELinux प्रयोगकर्ताहरू बीच मध्यस्थकर्ताको रूपमा के काम गर्दछ। भूमिकाहरूले प्रयोगकर्ताले कुन डोमेनहरू र कुन प्रकारका वस्तुहरू पहुँच गर्न सक्छन् भनेर निर्धारण गर्दछ। यो पहुँच नियन्त्रण संयन्त्रले विशेषाधिकार वृद्धि आक्रमणको खतरालाई रोक्छ। भूमिकाहरू SELinux मा प्रयोग हुने रोल बेस्ड एक्सेस कन्ट्रोल (RBAC) सुरक्षा मोडेलमा लेखिन्छन्।
• प्रकारहरू - एक प्रकार प्रवर्तन सूची विशेषता जुन वस्तुमा तोकिएको छ र कसले यसलाई पहुँच गर्न सक्छ भनेर निर्धारण गर्दछ। डोमेन परिभाषा जस्तै, त्यो डोमेन बाहेक कुनै प्रक्रियामा लागू हुन्छ, र डाइरेक्टरीहरू, फाइलहरू, सकेटहरू, आदि जस्ता वस्तुहरूमा टाइप लागू हुन्छ।
• विषय र वस्तुहरू - प्रक्रियाहरू विषयहरू हुन् र एक विशेष सन्दर्भ, वा सुरक्षा डोमेनमा चल्छन्। अपरेटिङ सिस्टम स्रोतहरू: फाइलहरू, डाइरेक्टरीहरू, सकेटहरू, आदि, वस्तुहरू हुन् जुन एक निश्चित प्रकार तोकिएको छ, अर्को शब्दमा, एक गोपनीयता स्तर।
• SELinux नीतिहरू - SELinux ले प्रणालीको सुरक्षा गर्न विभिन्न नीतिहरू प्रयोग गर्दछ। SELinux नीतिले भूमिकाहरूमा प्रयोगकर्ताहरूको पहुँच, डोमेनहरूमा भूमिकाहरू, र डोमेनहरूमा प्रकारहरूमा पहुँच परिभाषित गर्दछ। पहिले, प्रयोगकर्ता भूमिका प्राप्त गर्न अधिकृत छ, त्यसपछि भूमिका डोमेन पहुँच गर्न अधिकृत छ। अन्तमा, डोमेनले निश्चित प्रकारका वस्तुहरूमा मात्र पहुँच गर्न सक्छ।

LSM र SELinux वास्तुकला

नामको बावजुद, LSM हरू सामान्यतया लोडयोग्य लिनक्स मोड्युलहरू छैनन्। यद्यपि, SELinux जस्तै, यो सिधै कर्नेलमा एकीकृत हुन्छ। LSM स्रोत कोडमा कुनै पनि परिवर्तन गर्न नयाँ कर्नेल संकलन आवश्यक छ। सम्बन्धित विकल्प कर्नेल सेटिङहरूमा सक्षम गरिएको हुनुपर्छ, अन्यथा LSM कोड बुट पछि सक्रिय हुनेछैन। तर यस अवस्थामा पनि, यो OS बुटलोडर विकल्प द्वारा सक्षम गर्न सकिन्छ।

LSM चेक स्ट्याक

LSM कोर कर्नेल प्रकार्यहरूमा हुकहरूसँग सुसज्जित छ जुन जाँचहरूको लागि सान्दर्भिक हुन सक्छ। LSM को मुख्य विशेषताहरू मध्ये एक हो कि तिनीहरू स्ट्याक गरिएका छन्। यसरी, मानक जाँचहरू अझै पनि गरिन्छ, र LSM को प्रत्येक तहले थप नियन्त्रण र नियन्त्रणहरू मात्र थप्छ। यसको मतलब यो प्रतिबन्ध फिर्ता लिन सकिँदैन। यो चित्रमा देखाइएको छ; यदि नियमित DAC जाँचको नतिजा असफल भयो भने, यो कुरा LSM हुकहरूमा पनि पुग्ने छैन।

SELinux ले फ्लुक रिसर्च अपरेटिङ सिस्टमको फ्लास्क सुरक्षा वास्तुकला, विशेष गरी न्यूनतम विशेषाधिकारको सिद्धान्तलाई अपनाउछ। यस अवधारणाको सार, यसको नामले सुझाव दिन्छ, प्रयोगकर्तालाई प्रदान गर्नु वा अभिप्रेत कार्यहरू पूरा गर्न आवश्यक पर्ने अधिकारहरू मात्र प्रक्रिया गर्नु हो। यो सिद्धान्त जबरजस्ती पहुँच टाइपिङ प्रयोग गरेर लागू गरिएको छ, यसरी SELinux मा पहुँच नियन्त्रण डोमेन => प्रकार मोडेलमा आधारित छ।

जबरजस्ती पहुँच टाइपिङको लागि धन्यवाद, SELinux सँग युनिक्स/लिनक्स अपरेटिङ सिस्टमहरूमा प्रयोग हुने परम्परागत DAC मोडेल भन्दा धेरै पहुँच नियन्त्रण क्षमताहरू छन्। उदाहरणका लागि, तपाईले नेटवर्क पोर्ट नम्बर सीमित गर्न सक्नुहुन्छ जुन ftp सर्भरले जडान गर्नेछ, लेख्न र निश्चित फोल्डरमा फाइलहरू परिवर्तन गर्न अनुमति दिन्छ, तर तिनीहरूलाई मेटाउँदैन।

SELinux का मुख्य घटकहरू हुन्:

• नीति प्रवर्तन सर्भर - पहुँच नियन्त्रण व्यवस्थित गर्न मुख्य संयन्त्र।
• प्रणाली सुरक्षा नीति डेटाबेस।
• LSM घटना इन्टरसेप्टर संग अन्तरक्रिया।
• Selinuxfs - Pseudo-FS, /proc जस्तै र /sys/fs/selinux मा माउन्ट गरिएको। रनटाइममा लिनक्स कर्नेलद्वारा गतिशील रूपमा भरिएको र SELinux स्थिति जानकारी समावेश गर्ने फाइलहरू समावेश गर्दछ।
• भेक्टर क्यास पहुँच गर्नुहोस् - उत्पादकता बढाउनको लागि सहायक संयन्त्र।

SELinux कसरी काम गर्दछ

यो सबै यो जस्तै काम गर्दछ।

1. एक निश्चित विषय, SELinux सर्तहरूमा, DAC जाँच पछि वस्तुमा अनुमति दिइएको कार्य गर्दछ, जस्तै शीर्ष चित्रमा देखाइएको छ। अपरेशन गर्नको लागि यो अनुरोध LSM घटना इन्टरसेप्टरमा जान्छ।
2. त्यहाँबाट, अनुरोध, विषय र वस्तु सुरक्षा सन्दर्भ सहित, SELinux Abstraction र Hook Logic मोड्युलमा पठाइन्छ, जुन LSM सँग अन्तरक्रिया गर्न जिम्मेवार छ।
3. कुनै वस्तुमा विषयको पहुँचमा निर्णय गर्ने अधिकार नीति प्रवर्तन सर्भर हो र यसले SELinux AnHL बाट डाटा प्राप्त गर्दछ।
4. पहुँच वा अस्वीकारको बारेमा निर्णय गर्नको लागि, नीति प्रवर्तन सर्भरले पहुँच भेक्टर क्यास (AVC) क्यासिङ सबसिस्टममा सबैभन्दा धेरै प्रयोग हुने नियमहरूमा जान्छ।
5. यदि सम्बन्धित नियमको समाधान क्यासमा फेला परेन भने, अनुरोधलाई सुरक्षा नीति डेटाबेसमा पठाइन्छ।
6. डाटाबेस र AVC बाट खोजी परिणाम नीति प्रवर्तन सर्भरमा फिर्ता गरिन्छ।
7. यदि फेला परेको नीति अनुरोध गरिएको कार्यसँग मेल खान्छ भने, त्यसपछि सञ्चालन अनुमति छ। अन्यथा, सञ्चालन निषेधित छ।

SELinux सेटिङहरू प्रबन्ध गर्दै

SELinux तीन मोड मध्ये एक मा काम गर्दछ:

• लागू गर्ने - सुरक्षा नीतिहरूको कडा पालना।
• अनुमोदक - प्रतिबन्धहरूको उल्लङ्घनलाई अनुमति दिइएको छ; जर्नलमा सम्बन्धित नोट बनाइएको छ।
• असक्षम - सुरक्षा नीतिहरू प्रभावकारी छैनन्।

तपाईले निम्न आदेशको साथ SELinux कुन मोडमा छ भनेर हेर्न सक्नुहुन्छ।

[admin@server ~]$ getenforce
Permissive

रिबुट गर्नु अघि मोड परिवर्तन गर्दै, उदाहरणका लागि, यसलाई लागू गर्न सेट गर्दै, वा 1। अनुमति दिने प्यारामिटर संख्यात्मक कोड ० सँग मेल खान्छ।

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

तपाईं फाइल सम्पादन गरेर मोड पनि परिवर्तन गर्न सक्नुहुन्छ:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE=लक्ष्य

setenfoce सँगको भिन्नता यो हो कि जब अपरेटिङ सिस्टम बुट हुन्छ, SELinux मोड कन्फिगरेसन फाइलमा SELINUX प्यारामिटरको मान अनुसार सेट गरिनेछ। थप रूपमा, लागू गर्नका लागि परिवर्तनहरू <=> असक्षम पारिएको /etc/selinux/config फाइल सम्पादन गरेर र रिबुट पछि मात्र प्रभावकारी हुन्छ।

संक्षिप्त स्थिति रिपोर्ट हेर्नुहोस्:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux विशेषताहरू हेर्न, केही मानक उपयोगिताहरूले -Z प्यारामिटर प्रयोग गर्दछ।

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

ls -l को सामान्य आउटपुटको तुलनामा, निम्न ढाँचामा धेरै अतिरिक्त क्षेत्रहरू छन्:

<user>:<role>:<type>:<level>

अन्तिम फिल्डले सुरक्षा वर्गीकरण जस्तै केहि बुझाउँछ र दुई तत्वहरूको संयोजन समावेश गर्दछ:

• s0 - महत्व, निम्न स्तर-उच्च स्तर अन्तरालको रूपमा पनि लेखिएको
• c0, c1… c1023 - श्रेणी।

पहुँच कन्फिगरेसन परिवर्तन गर्दै

SELinux मोड्युलहरू लोड गर्न, थप्न र हटाउन semodule प्रयोग गर्नुहोस्।

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

पहिलो टोली semanage लगइन SELinux प्रयोगकर्तालाई अपरेटिङ सिस्टम प्रयोगकर्तासँग जोड्छ, दोस्रोले सूची देखाउँछ। अन्तमा, -r स्विचको साथ अन्तिम आदेशले OS खाताहरूमा SELinux प्रयोगकर्ताहरूको म्यापिङ हटाउँछ। MLS/MCS दायरा मानहरूको लागि सिन्ट्याक्सको व्याख्या अघिल्लो खण्डमा छ।

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

टोली semanage प्रयोगकर्ता SELinux प्रयोगकर्ताहरू र भूमिकाहरू बीच म्यापिङहरू व्यवस्थापन गर्न प्रयोग गरिन्छ।

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

आदेश प्यारामिटरहरू:

• -कस्टम रोल म्यापिङ प्रविष्टि थप्नुहोस्;
• -l मिल्दो प्रयोगकर्ता र भूमिकाहरूको सूची;
• -d प्रयोगकर्ता भूमिका म्यापिङ प्रविष्टि मेटाउनुहोस्;
• - प्रयोगकर्तासँग संलग्न भूमिकाहरूको सूची;

फाइलहरू, पोर्टहरू र बुलियन मानहरू

प्रत्येक SELinux मोड्युलले फाइल ट्यागिङ नियमहरूको सेट प्रदान गर्दछ, तर आवश्यक भएमा तपाइँ आफ्नै नियमहरू पनि थप्न सक्नुहुन्छ। उदाहरणका लागि, हामी वेब सर्भरसँग /srv/www फोल्डरमा पहुँच अधिकार भएको चाहन्छौं।

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

पहिलो आदेशले नयाँ मार्किङ नियमहरू दर्ता गर्दछ, र दोस्रो रिसेट, वा बरु सेट गर्दछ, हालको नियमहरू अनुसार फाइल प्रकारहरू।

त्यस्तै गरी, TCP/UDP पोर्टहरू यसरी चिन्ह लगाइन्छ कि उपयुक्त सेवाहरूले मात्र तिनीहरूलाई सुन्न सक्छ। उदाहरण को लागी, वेब सर्भर को लागी पोर्ट 8080 मा सुन्न को लागी, तपाईले आदेश चलाउन आवश्यक छ।

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux मोड्युलहरूको महत्त्वपूर्ण संख्यामा बुलियन मानहरू लिन सक्ने प्यारामिटरहरू छन्। त्यस्ता प्यारामिटरहरूको सम्पूर्ण सूची getsebool -a प्रयोग गरेर देख्न सकिन्छ। तपाईं setsebool प्रयोग गरेर बुलियन मानहरू परिवर्तन गर्न सक्नुहुन्छ।

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

कार्यशाला, Pgadmin-वेब इन्टरफेसमा पहुँच प्राप्त गर्नुहोस्

एक व्यावहारिक उदाहरण हेरौं: हामीले RHEL 7.6 मा PostgreSQL डाटाबेस व्यवस्थापन गर्न pgadmin4-web स्थापना गर्यौं। अलिकति हिँड्यौं खोज pg_hba.conf, postgresql.conf र config_local.py को सेटिङहरूसँग, फोल्डर अनुमतिहरू सेट गर्नुहोस्, pip बाट हराएको पाइथन मोड्युलहरू स्थापना गर्नुहोस्। सबै तयार छ, हामी लन्च र प्राप्त गर्छौं 500 आन्तरिक सर्भर त्रुटि.

हामी /var/log/httpd/error_log जाँच गर्दै, सामान्य संदिग्धहरूसँग सुरु गर्छौं। त्यहाँ केही रोचक प्रविष्टिहरू छन्।

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

यस बिन्दुमा, धेरै लिनक्स प्रशासकहरू setencorce 0 चलाउन कडा प्रलोभनमा पर्नेछ, र त्यो यसको अन्त्य हुनेछ। साँच्चै, मैले पहिलो पटक मात्र गरें। यो पक्कै पनि एक तरिका हो, तर उत्तम देखि टाढा।

जटिल डिजाइनहरूको बावजुद, SELinux प्रयोगकर्ता-अनुकूल हुन सक्छ। केवल setroubleshoot प्याकेज स्थापना गर्नुहोस् र प्रणाली लग हेर्नुहोस्।

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

कृपया ध्यान दिनुहोस् कि अडिट सेवा यस तरिकाले पुन: सुरु गर्नुपर्छ, र OS मा systemd को उपस्थितिको बावजुद systemctl प्रयोग नगरी। प्रणाली लग मा संकेत गरिनेछ अवरुद्धको तथ्य मात्र होइन, कारण र प्रतिबन्ध हटाउने तरिका.

हामी यी आदेशहरू कार्यान्वयन गर्छौं:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

हामी pgadmin4-वेब पृष्ठमा पहुँच जाँच गर्छौं, सबै काम गर्दछ।

स्रोत: www.habr.com