🥇 لينڪس سيڪيورٽي سسٽم

ايمبيڊڊ، موبائيل ڊيوائسز ۽ سرورز تي لينڪس او ايس جي زبردست ڪاميابيءَ جو هڪ سبب نسبتاً اعليٰ درجي جي سيڪيورٽي، لاڳاپيل خدمتون ۽ ايپليڪيشنون آهن. پر جيڪڏهن هڪ ويجهي نظر وٺو لينڪس ڪنييل جي فن تعمير کي، پوء ان ۾ سيڪيورٽي لاء ذميوار هڪ چورس ڳولڻ ناممڪن آهي، جهڙوڪ. لينڪس سيڪيورٽي سب سسٽم ڪٿي لڪائي رهيو آهي ۽ اهو ڇا تي مشتمل آهي؟

لينڪس سيڪيورٽي ماڊلز ۽ SELinux جو پس منظر

سيڪيورٽي بهتر ڪيل لينڪس ضابطن جو هڪ سيٽ آهي ۽ هڪ رسائي ميڪانيزم آهي لازمي ۽ ڪردار تي ٻڌل رسائي ماڊلز جي بنياد تي لينڪس سسٽم کي امڪاني خطرن کان بچائڻ ۽ اختياري رسائي ڪنٽرول (DAC) جي ڪمزورين کي درست ڪرڻ لاءِ، روايتي يونڪس سيڪيورٽي سسٽم. پروجيڪٽ يو ايس نيشنل سيڪيورٽي ايجنسي جي آنڊن ۾ پيدا ٿيو، ۽ ٺيڪيدار سيڪيور ڪمپيوٽنگ ڪارپوريشن ۽ MITER، گڏوگڏ ڪيتريون ئي تحقيقي ليبارٽريون، سڌي طرح ترقي ۾ ملوث هيون.

لينڪس سيڪيورٽي ماڊلز

Linus Torvalds نئين NSA ترقيات تي نوٽس جو تعداد وڌايو ته جيئن اهي لينڪس ڪنيل جي مکيه شاخ ۾ شامل ٿي سگهن. هن هڪ عام ماحول کي بيان ڪيو آهي، ان سان گڏ شيون تي عملن کي منظم ڪرڻ لاء مداخلت ڪندڙن جي هڪ سيٽ ۽ لاڳاپيل خاصيتن کي محفوظ ڪرڻ لاء ڪنيل ڊيٽا جي جوڙجڪ ۾ ڪجهه حفاظتي شعبن جو هڪ سيٽ. هي ماحول پوءِ استعمال ڪري سگھجي ٿو لوڊ ڪرڻ جي قابل ڪنيل ماڊلز کي لاڳو ڪرڻ لاءِ ڪنهن به گهربل حفاظتي ماڊل کي. LSM مڪمل طور تي لينڪس ڪنييل v2.6 ۾ 2003 ۾ داخل ٿيو.

LSM فريم ورڪ ۾ ڊيٽا جي جوڙجڪ ۾ گارڊ فيلڊز شامل آهن ۽ ڪنيل ڪوڊ ۾ اهم نقطن تي مداخلت واري فنڪشن ڪالز انهن کي منظم ڪرڻ ۽ رسائي ڪنٽرول انجام ڏيڻ لاءِ. اهو سيڪيورٽي ماڊلز جي رجسٽريشن لاءِ ڪارڪردگي پڻ شامل ڪري ٿو. /sys/kernel/security/lsm انٽرفيس سسٽم ۾ فعال ماڊلز جي هڪ فهرست تي مشتمل آهي. LSM ٿلهو لسٽن ۾ محفوظ ٿيل آھن جيڪي CONFIG_LSM ۾ بيان ڪيل ترتيب ۾ سڏيا ويا آھن. تفصيلي ٿلهو دستاويز شامل ڪيو ويو آهي include/linux/lsm_hooks.h هيڊر فائل ۾.

LSM سبسسٽم اهو ممڪن ڪيو ته SELinux جي مڪمل انضمام کي مڪمل ڪرڻ لاءِ ساڳئي ورزن جي مستحڪم لينڪس ڪنيل v2.6. لفظي طور تي فوري طور تي، SELinux هڪ محفوظ لينڪس ماحول لاء حقيقي معيار بڻجي ويو ۽ سڀ کان وڌيڪ مشهور تقسيم جو حصو بڻجي ويو: RedHat Enterprise Linux، Fedora، Debian، Ubuntu.

لغت

سڃاڻپ - SELinux استعمال ڪندڙ عام يونڪس / لينڪس يوزر آئي ڊي وانگر ساڳيو نه آهي، اهي ساڳيا سسٽم تي گڏ ٿي سگهن ٿا، پر اهي جوهر ۾ مڪمل طور تي مختلف آهن. هر معياري لينڪس اڪائونٽ هڪ يا وڌيڪ SELinux ۾ ملن ٿا. SELinux جي سڃاڻپ مجموعي حفاظتي حوالن جو حصو آهي جيڪو طئي ڪري ٿو ته توهان ڪهڙن ڊومين ۾ شامل ٿي سگهو ٿا ۽ نه ٿا ٿي سگهو.
ڊومينز - SELinux ۾، ڊومين موضوع جي عمل جي حوالي سان آهي، يعني عمل. ڊومين سڌو سنئون بيان ڪري ٿو رسائي جيڪا هڪ پروسيس ڪئي آهي. ھڪڙو ڊومين بنيادي طور تي ھڪڙي فهرست آھي جيڪو عمل ڪري سگھي ٿو يا ڪھڙا عمل جيڪي عمل مختلف قسمن سان ڪري سگھن ٿا. ڊومين جا ڪجهه مثال آهن sysadm_t سسٽم ايڊمنسٽريشن لاءِ، ۽ user_t جيڪو هڪ باقاعده غير امتيازي صارف ڊومين آهي. init سسٽم init_t ڊومين ۾ هلندو آهي، ۽ نالي وارو عمل name_t ڊومين ۾ هلندو آهي.
روڊن - ڪجھھ آھي جيڪو ڊومينز ۽ SELinux استعمال ڪندڙن جي وچ ۾ وچولي طور ڪم ڪري ٿو. ڪردار بيان ڪن ٿا ته صارف ڪهڙن ڊومين سان تعلق رکي سگهي ٿو ۽ صارف ڪهڙي قسم جي شين تائين رسائي ڪري سگهي ٿو. اهڙي رسائي ڪنٽرول ميڪانيزم کي روڪي ٿو استحقاق وڌائڻ واري حملي جي خطري کي. ڪردار SELinux ۾ استعمال ٿيل رول بيسڊ رسائي ڪنٽرول (RBAC) سيڪيورٽي ماڊل ۾ لکيل آهن.
قسمون - ٽائپ ڪريو Enforcement list وصف جيڪو ڪنهن شئي کي لڳايو ويو آهي ۽ اهو طئي ڪري ٿو ته ڪير ان تائين رسائي حاصل ڪندو. ساڳي طرح هڪ ڊومين جي وضاحت ڪرڻ، سواء ان جي ڊومين عمل تي لاڳو ٿئي ٿو، جڏهن ته قسم شين تي لاڳو ٿئي ٿو جهڙوڪ ڊائريڪٽري، فائلون، ساکٽ، وغيره.
مضمون ۽ شيون - عمل مضمون آهن ۽ هڪ خاص حوالي سان هلائيندا آهن، يا سيڪيورٽي ڊومين. آپريٽنگ سسٽم جا وسيلا: فائلون، ڊائريڪٽري، ساکٽ، وغيره، شيون آهن جيڪي هڪ خاص قسم جي مقرر ڪيل آهن، ٻين لفظن ۾، رازداري جي سطح.
SELinux پاليسيون - SELinux سسٽم کي بچائڻ لاءِ مختلف پاليسيون استعمال ڪري ٿو. SELinux پاليسي بيان ڪري ٿي صارف جي پهچ جي ڪردارن تائين، ڪردارن تائين ڊومينز، ۽ ڊومينز کي ٽائپس. پهريون، صارف هڪ ڪردار حاصل ڪرڻ لاء مجاز آهي، پوء ڪردار ڊومينز تائين رسائي جي مجاز آهي. آخرڪار، هڪ ڊومين کي صرف ڪجهه قسمن جي شين تائين رسائي حاصل ڪري سگھي ٿي.

LSM ۽ SELinux فن تعمير

نالي جي باوجود، LSMs عام طور تي لينڪس ماڊل لوڊ ڪرڻ وارا نه آهن. بهرحال، SELinux وانگر، اهو سڌو سنئون ڪنييل ۾ ضم ٿيل آهي. LSM سورس ڪوڊ ۾ ڪا به تبديلي هڪ نئين ڪنييل تاليف جي ضرورت آهي. لاڳاپيل آپشن کي ڪنيل سيٽنگن ۾ فعال ڪيو وڃي، ٻي صورت ۾ LSM ڪوڊ بوٽ کان پوء چالو نه ٿيندو. پر ان صورت ۾ به، ان کي فعال ڪري سگهجي ٿو OS bootloader اختيار.

LSM چيڪن جو اسٽيڪ

LSM بنيادي ڪنييل افعال ۾ ٿلهو سان ليس آهي جيڪي چيڪن لاءِ لاڳاپيل هوندا. LSM جي مکيه خاصيتن مان هڪ آهي ته اهي اسٽيڪ تي ٻڌل آهن. اهڙيء طرح، معياري چيڪ اڃا تائين انجام ڏنو ويو آهي، ۽ هر LSM پرت صرف اضافي ڪنٽرول ۽ ڪنٽرول شامل ڪري ٿو. ان جو مطلب اهو آهي ته پابندي کي واپس نه ٿو ڪري سگهجي. اهو انگ ۾ ڏيکاريو ويو آهي، جيڪڏهن معمولي DAC چيڪن جو نتيجو هڪ ناڪامي آهي، ته پوء اهو LSM ٿلهو تائين به نه پهچي سگهندو.

SELinux فلوڪ ريسرچ آپريٽنگ سسٽم جي فلاسڪ سيڪيورٽي آرڪيٽيڪچر کي اختيار ڪيو، خاص طور تي گهٽ ۾ گهٽ استحقاق جو اصول. هن تصور جو جوهر، جيئن انهن جي نالي مان ظاهر ٿئي ٿو، صارف کي عطا ڪرڻ يا صرف انهن حقن تي عمل ڪرڻ آهي جيڪي گهربل عملن تي عمل ڪرڻ لاء ضروري آهن. اهو اصول زبردستي رسائي ٽائپنگ استعمال ڪندي لاڳو ڪيو ويو آهي، تنهنڪري SELinux جي رسائي ڪنٽرول ڊومين => قسم جي ماڊل تي ٻڌل آهي.

لاڳو ٿيل رسائي ٽائپنگ ذريعي، SELinux وٽ يونڪس/لينڪس آپريٽنگ سسٽم ۾ استعمال ٿيندڙ روايتي DAC ماڊل جي ڀيٽ ۾ تمام گهڻي رسائي ڪنٽرول صلاحيتون آهن. مثال طور، توهان نيٽ ورڪ پورٽ نمبر کي محدود ڪري سگهو ٿا جيڪو ftp سرور سان ٿيندو، هڪ خاص فولڊر ۾ فائلن کي لکڻ ۽ تبديل ڪرڻ جي اجازت ڏيو، پر انهن کي حذف نه ڪيو.

SELinux جا مکيه حصا آهن:

پاليسي لاڳو ڪندڙ سرور - رسائي ڪنٽرول کي منظم ڪرڻ لاء بنيادي ميکانيزم.
سسٽم سيڪيورٽي پاليسين جو ڊيٽابيس.
LSM واقعي جي ٻڌندڙن سان رابطو.
Selinuxfs - Pseudo-FS، ساڳيو /proc ۽ /sys/fs/selinux ۾ نصب ٿيل. رن ٽائم تي لينڪس ڪرنل طرفان متحرڪ طور تي آباد ٿيل آهي ۽ فائلن تي مشتمل آهي جنهن ۾ SELinux اسٽيٽس جي معلومات شامل آهي.
ویکٹر ڪيش تائين رسائي - ڪارڪردگي بهتر ڪرڻ لاء معاون ميڪانيزم.

ڪيئن SELinux ڪم ڪري ٿو

هي سڀ ڪم هن ريت آهي.

هڪ مضمون، SELinux جي اصطلاحن ۾، ڊي اي سي چيڪ ڪرڻ کان پوءِ ڪنهن شئي تي اجازت ڏنل عمل انجام ڏئي ٿو، جيئن مٿين تصوير ۾ ڏيکاريل آهي. هي آپريشن جي درخواست LSM واقعي جي ٻڌندڙن ڏانهن وڃي ٿي.
اتان کان، درخواست، موضوع ۽ اعتراض جي حفاظتي حوالي سان، LSM سان رابطي لاء ذميوار SELinux Abstraction ۽ Hook Logic ماڊل ڏانهن منتقل ڪيو ويو آهي.
پاليسي انفورسمينٽ سرور آهي فيصلي سازي اختيار ڪرڻ واري اٿارٽي موضوع تي اعتراض تائين رسائي، ۽ اهو ڊيٽا حاصل ڪري ٿو SELinux AnHL کان.
رسائي، يا ممنوع تي فيصلو ڪرڻ لاء، پاليسي لاڳو ڪندڙ سرور سڀ کان وڌيڪ استعمال ٿيل رسائي ویکٹر ڪيش (AVC) ضابطن جي ڪيشنگ سب سسٽم ڏانهن اشارو ڪري ٿو.
جيڪڏهن لاڳاپيل قاعدي جو حل ڪيش ۾ نه مليو آهي، ته پوء درخواست منظور ڪئي وئي آهي سيڪيورٽي پاليسي ڊيٽابيس ڏانهن.
ڊيٽابيس ۽ AVC مان ڳولا جو نتيجو پاليسي نافذ ڪرڻ واري سرور ڏانهن موٽايو ويو آهي.
جيڪڏهن مليل پاليسي گهربل عمل سان مطابقت رکي ٿي، ته پوءِ آپريشن جي اجازت آهي. ٻي صورت ۾، آپريشن ممنوع آهي.

SELinux سيٽنگون منظم ڪرڻ

SELinux ٽن طريقن مان ھڪڙي ۾ ڪم ڪري ٿو:

لاڳو ڪرڻ - حفاظتي پاليسين جي سخت نفاذ.
اجازت ڏيڻ واري - پابندين جي خلاف ورزي جي اجازت ڏني وئي آهي، لاڳاپيل نشان لاگ ۾ ٺاهيو ويو آهي.
معذور - سيڪيورٽي پاليسيون اثر ۾ نه آهن.

توھان ڏسي سگھوٿا ته ھيٺ ڏنل حڪم سان SELinux ڪهڙي موڊ ۾ آھي.

[admin@server ~]$ getenforce
Permissive

ريبوٽ ڪرڻ کان اڳ موڊ کي تبديل ڪرڻ، مثال طور، ان کي لاڳو ڪرڻ لاءِ سيٽ ڪريو، يا 1. اجازت ڏيڻ وارو پيٽرول عددي ڪوڊ 0 سان ملندو آھي.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

توھان پڻ فائل کي تبديل ڪندي موڊ تبديل ڪري سگھو ٿا:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection.
SELINUXTYPE = هدف

setenfoce سان فرق اهو آهي ته جڏهن آپريٽنگ سسٽم بوٽ ڪندو، SELinux موڊ سيٽ ڪيو ويندو SELINUX پيٽرولر جي قيمت جي مطابق ترتيب واري فائل ۾. ان کان علاوه، لاڳو ڪرڻ <=> غير فعال تبديليون صرف /etc/selinux/config فائل کي ايڊٽ ڪرڻ ۽ ريبوٽ کان پوءِ اثر انداز ٿينديون آهن.

ڏسو خلاصو اسٽيٽس رپورٽ:

[admin@server ~]$ sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
SELinux خاصيتون ڏسڻ لاءِ، ڪجھ اسٽاڪ يوٽيلٽيون استعمال ڪن ٿيون -Z آپشن.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

عام ls -l پيداوار جي مقابلي ۾، ھيٺ ڏنل شڪل ۾ ڪيترائي اضافي فيلڊ آھن:

<user>:<role>:<type>:<level>

آخري فيلڊ هڪ سيڪيورٽي اسٽيمپ وانگر ڪجهه ظاهر ڪري ٿو ۽ ٻن عناصر جي ميلاپ تي مشتمل آهي:

s0 - اھميت، پڻ رڪارڊ ٿيل گھٽ-سطح-اعلي سطحي وقفي ۾
c0, c1… c1023 ڪيٽيگري آهي.

رسائي جي ترتيب کي تبديل ڪندي

SELinux ماڊل لوڊ ڪرڻ لاءِ سيموڊول استعمال ڪريو، شامل ڪريو ۽ ختم ڪريو.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

پهرين ٽيم semanage لاگ ان SELinux استعمال ڪندڙ کي آپريٽنگ سسٽم استعمال ڪندڙ سان ملائي ٿو، ٻيو ان کي لسٽ ڪري ٿو. آخرڪار، آخري حڪم -r سوئچ سان SELinux استعمال ڪندڙن جي ميپنگ کي OS اڪائونٽن تي هٽائي ٿو. MLS/MCS رينج جي قدرن جي نحو جي وضاحت پوئين حصي ۾ آهي.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 * [admin@server ~]$ semanage login -d karol
ٽيم semanage استعمال ڪندڙ SELinux استعمال ڪندڙن ۽ ڪردارن جي وچ ۾ نقشن کي منظم ڪرڻ لاء استعمال ڪيو ويو.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

حڪم جا اختيار:

- هڪ ڪسٽم رول ميپنگ داخلا شامل ڪريو؛
-l ملندڙ استعمال ڪندڙن ۽ ڪردارن جي فهرست؛
-d هٽايو ڪسٽم رول ميپنگ داخلا؛
استعمال ڪندڙ سان ڳنڍيل ڪردارن جي فهرست؛

فائلون، بندرگاهن ۽ بولين

هر SELinux ماڊل فائل مارڪنگ قاعدن جو هڪ سيٽ مهيا ڪري ٿو، پر توهان پڻ شامل ڪري سگهو ٿا پنهنجا ضابطا جيڪڏهن گهربل هجي. مثال طور، اسان چاهيون ٿا ته ويب سرور کي /srv/www فولڊر تائين رسائي جا حق حاصل هجن.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

پهريون حڪم نئين نشانن جي ضابطن کي رجسٽر ڪري ٿو، ۽ ٻيو وري سيٽ ڪري ٿو، يا بلڪه ظاهر ڪري ٿو، موجوده قاعدن جي مطابق فائل جي قسمن کي.

ساڳئي طرح، TCP/UDP بندرگاهن کي نشان لڳايو ويو آهي ته جيئن صرف مناسب خدمتون انهن تي ٻڌي سگهن ٿيون. مثال طور، بندرگاهه 8080 تي ٻڌڻ لاءِ ويب سرور لاءِ، توهان کي حڪم هلائڻو پوندو.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

SELinux ماڊلز جو ھڪڙو اھم تعداد آھي پيرا ميٽرز جيڪي وٺي سگھن ٿا بولين قدر. اهڙن اختيارن جي مڪمل فهرست getsebool -a سان ڏسي سگھجي ٿي. Boolean Values setsebool استعمال ڪندي تبديل ڪري سگھجي ٿو.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

عملي طور، Pgadmin-ويب انٽرفيس تائين رسائي

مشق مان هڪ مثال تي غور ڪريو، اسان انسٽال ڪيو pgadmin7.6-web RHEL 4 تي PostgreSQL ڊيٽابيس کي منظم ڪرڻ لاءِ. اسان هڪ ننڍڙو پاس ڪيو جستجو pg_hba.conf، postgresql.conf ۽ config_local.py کي ترتيب ڏيڻ سان، فولڊرن جا حق مقرر ڪريو، پائپ مان گم ٿيل پٿون ماڊل انسٽال ڪريو. هر شي تيار آهي، هلو ۽ حاصل ڪريو 500 اندروني سرور جي غلطي.

اسان عام مشڪوڪ سان شروع ڪريون ٿا، چيڪ ڪريو /var/log/httpd/error_log. اتي ڪجھ دلچسپ داخلا آھن.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0 ... [timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin' [timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on [timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

هن نقطي تي، اڪثر لينڪس منتظمين کي سختي سان آزمائشي ويندي سيٽنڪورس 0 کي هلائڻ لاء، ۽ ان سان ڪيو وڃي. ايماندار ٿيڻ لاء، هي پهريون ڀيرو آهي جيڪو مون ڪيو. اهو، يقينا، پڻ هڪ طريقو آهي، پر بهترين کان پري.

بوجھل ڊيزائن جي باوجود، SELinux صارف دوست ٿي سگھي ٿو. بس انسٽال ڪريو setroubleshoot پيڪيج ۽ ڏسو سسٽم لاگ.

[admin@server ~]$ yum install setroubleshoot [admin@server ~]$ journalctl -b -0 [admin@server ~]$ service restart auditd

نوٽ ڪريو ته آڊٽ سروس کي هن طريقي سان ٻيهر شروع ڪيو وڃي، ۽ سسٽم سي ٽي ايل سان نه، او ايس ۾ سسٽم ڊي جي موجودگي جي باوجود. سسٽم لاگ ۾ اشارو ڪيو ويندو نه رڳو بلاڪ جي حقيقت، پر پڻ سبب ۽ پابندي کي ختم ڪرڻ جو طريقو.

اسان انهن حڪمن تي عمل ڪريون ٿا:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1 [admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

اسان چيڪ ڪريون ٿا رسائي pgadmin4-ويب پيج تائين، هر شي ڪم ڪري ٿي.

جو ذريعو: www.habr.com

لينڪس سيڪيورٽي سسٽم