לינוקס זיכערהייט סיסטעמען

איינער פון די סיבות פֿאַר די גוואַלדיק הצלחה פון די לינוקס אַס אויף עמבעדיד, רירעוודיק דעוויסעס און סערווערס איז די גאַנץ הויך זיכערהייט פון די קערן, פֿאַרבונדענע באַדינונגס און אַפּלאַקיישאַנז. אבער אויב נעמען אַ נעענטער קוק צו די אַרקאַטעקטשער פון די לינוקס קערן, עס איז אוממעגלעך צו געפֿינען אין עס אַ קוואַדראַט פאַראַנטוואָרטלעך פֿאַר זיכערהייט ווי אַזאַ. ווו איז די לינוקס זיכערהייט סאַבסיסטאַם כיידינג און וואָס איז עס?

הינטערגרונט אויף לינוקס סעקוריטי מאָדולעס און SELinux

זיכערהייט ענכאַנסט לינוקס איז אַ סכום פון כּללים און אַקסעס מעקאַניזאַמז באזירט אויף מאַנדאַטאָרי און ראָלע-באזירט אַקסעס מאָדעלס צו באַשיצן לינוקס סיסטעמען פון פּאָטענציעל טרעץ און פאַרריכטן די שאָרטקאָמינגס פון דיסקרעשאַנערי אַקסעס קאָנטראָל (דאַק), די טראדיציאנעלן יוניקס זיכערהייט סיסטעם. דער פראיעקט איז ערידזשאַנייטאַד אין די געדערעם פון די יו. עס. נאַשאַנאַל סעקוריטי אַגענטור, און איז גלייך דעוועלאָפּעד דער הויפּט דורך קאָנטראַקטאָרס סעקורע קאַמפּיוטינג קאָרפּאָראַטיאָן און MITER, ווי געזונט ווי אַ נומער פון פאָרשונג לאַבאָראַטאָריעס.

לינוקס זיכערהייט מאָדולעס

Linus Torvalds האט געמאכט אַ נומער פון באַמערקונגען וועגן נייַע NSA דיוועלאַפּמאַנץ אַזוי זיי קענען זיין אַרייַנגערעכנט אין די הויפּט לינוקס קערן. ער דיסקרייבד אַ גענעראַל סוויווע, מיט אַ גאַנג פון ינטערסעפּטאָרס צו קאָנטראָלירן אַפּעריישאַנז מיט אַבדזשעקץ און אַ גאַנג פון זיכער פּראַטעקטיוו פעלדער אין קערנעל דאַטן סטראַקטשערז צו קראָם די קאָראַספּאַנדינג אַטריביוץ. די סוויווע קענען זיין געוויינט דורך לאָודאַבלע קערן מאַדזשולז צו ינסטרומענט קיין געוואלט זיכערהייט מאָדעל. LSM איז גאָר אריין אין די לינוקס קערן וו2.6 אין 2003.

די LSM פריימווערק כולל היטן פעלדער אין דאַטן סטראַקטשערז און רופט צו ינטערסעפּשאַן פאַנגקשאַנז אין קריטיש פונקטן אין די קערן קאָד צו מאַניפּולירן זיי און דורכפירן אַקסעס קאָנטראָל. עס אויך מוסיף פאַנגקשאַנאַליטי פֿאַר רעדזשיסטערינג זיכערהייט מאַדזשולז. די /sys/kernel/security/lsm צובינד כּולל אַ רשימה פון אַקטיוו מאַדזשולז אויף די סיסטעם. LSM כוקס זענען סטאָרד אין רשימות וואָס זענען גערופֿן אין די סדר ספּעסיפיעד אין CONFIG_LSM. דיטיילד דאַקיומענטיישאַן אויף כוקס איז אַרייַנגערעכנט אין די כעדער טעקע include/linux/lsm_hooks.h.

די LSM סאַבסיסטעם געמאכט עס מעגלעך צו פאַרענדיקן די פול ינאַגריישאַן פון SELinux מיט דער זעלביקער ווערסיע פון ​​​​די סטאַביל לינוקס קערן וו2.6. SELinux איז כּמעט גלייך געווארן דער דע פאַקטאָ נאָרמאַל פֿאַר אַ זיכער לינוקס סוויווע און איז אַרייַנגערעכנט אין די מערסט פאָלקס דיסטריביושאַנז: RedHat Enterprise Linux, Fedora, Debian, Ubuntu.

SELinux גלאָסאַר

• אידענטיטעט - דער SELinux באַניצער איז נישט די זעלבע ווי די געוויינטלעך יוניקס / לינוקס באַניצער שייַן; זיי קענען קאָויגזיסטירן אויף דער זעלביקער סיסטעם, אָבער זענען גאָר אַנדערש אין עסאַנס. יעדער נאָרמאַל לינוקס חשבון קענען שטימען צו איינער אָדער מער אין SELinux. די SELinux אידענטיטעט איז אַ טייל פון די קוילעלדיק זיכערהייט קאָנטעקסט, וואָס דיטערמאַנז וואָס דאָומיינז איר קענען און קענען נישט פאַרבינדן.
• דאָומיינז - אין SELinux, אַ פעלד איז דער דורכפירונג קאָנטעקסט פון אַ ונטערטעניק, ד"ה אַ פּראָצעס. די פעלד גלייך דיטערמאַנז די אַקסעס אַז אַ פּראָצעס האט. א פעלד איז בייסיקלי אַ רשימה פון וואָס פּראַסעסאַז קענען טאָן אָדער וואָס אַ פּראָצעס קענען טאָן מיט פאַרשידענע טייפּס. עטלעכע ביישפילן פון דאָומיינז זענען sysadm_t פֿאַר סיסטעם אַדמיניסטראַציע, און user_t וואָס איז אַ נאָרמאַל ניט-פּריוולידזשד באַניצער פעלד. די init סיסטעם לויפט אין די init_t פעלד, און די געהייסן פּראָצעס לויפט אין די named_t פעלד.
• ראָלעס - וואָס סערוועס ווי אַ ינטערמידיערי צווישן דאָומיינז און SELinux יוזערז. ראָלעס באַשטימען צו וואָס דאָומיינז אַ באַניצער קענען געהערן און וואָס טייפּס פון אַבדזשעקץ זיי קענען אַקסעס. דעם אַקסעס קאָנטראָל מעקאַניזאַם פּריווענץ די סאַקאָנע פון ​​פּריווילעגיע עסקאַלירונג אנפאלן. ראָלעס זענען געשריבן אין די ראָלע-באַזירט אַקסעס קאָנטראָל (RBAC) זיכערהייט מאָדעל געניצט אין SELinux.
• טייפּס - א טיפּ ענפאָרסמאַנט רשימה אַטריביוט וואָס איז אַסיינד צו אַ כייפעץ און דיטערמאַנז ווער קענען אַקסעס עס. ענלעך צו די פעלד דעפֿיניציע, אַחוץ אַז פעלד אַפּלייז צו אַ פּראָצעס, און טיפּ אַפּלייז צו אַבדזשעקץ אַזאַ ווי דירעקטעריז, טעקעס, סאַקאַץ, עטק.
• טעמעס און אַבדזשעקץ - פּראַסעסאַז זענען סאַבדזשעקץ און לויפן אין אַ ספּעציפיש קאָנטעקסט אָדער זיכערהייט פעלד. אַפּערייטינג סיסטעם רעסורסן: טעקעס, דיירעקטעריז, סאַקאַץ, אאז"ו ו, זענען אַבדזשעקץ וואָס זענען אַסיינד אַ זיכער טיפּ, אין אנדערע ווערטער, אַ פּריוואַטקייט מדרגה.
• SELinux פּאַלאַסיז - SELinux ניצט אַ פאַרשיידנקייַט פון פּאַלאַסיז צו באַשיצן די סיסטעם. די SELinux פּאָליטיק דיפיינז די אַקסעס פון ניצערס צו ראָלעס, ראָלעס צו דאָומיינז און דאָומיינז צו טייפּס. ערשטער, דער באַניצער איז אָטערייזד צו באַקומען אַ ראָלע, און דער ראָלע איז אָטערייזד צו אַקסעס דאָומיינז. צום סוף, אַ פעלד קענען בלויז האָבן אַקסעס צו זיכער טייפּס פון אַבדזשעקץ.

LSM און די SELinux אַרקאַטעקטשער

טראָץ דעם נאָמען, LSMs זענען בכלל נישט לאָודאַבלע לינוקס מאַדזשולז. אָבער, ווי SELinux, עס איז גלייַך ינאַגרייטיד אין די קערן. קיין ענדערונג צו די LSM מקור קאָד ריקווייערז אַ נייַע קערן זאַמלונג. די קאָראַספּאַנדינג אָפּציע מוזן זיין ענייבאַלד אין די קערן סעטטינגס, אַנדערש די LSM קאָד וועט נישט זיין אַקטיווייטיד נאָך שטיוול. אָבער אפילו אין דעם פאַל, עס קענען זיין ענייבאַלד דורך די OS באָאָטלאָאַדער אָפּציע.

LSM טשעק אָנלייגן

LSM איז יקוויפּט מיט כוקס אין האַרץ קערן פאַנגקשאַנז וואָס קענען זיין באַטייַטיק פֿאַר טשעקס. איינער פון די הויפּט פֿעיִקייטן פון LSMs איז אַז זיי זענען סטאַקט. אזוי, די נאָרמאַל טשעקס זענען נאָך דורכגעקאָכט, און יעדער שיכטע פון ​​​​לסם בלויז מוסיף נאָך קאָנטראָלס און קאָנטראָלס. דאס מיינט אז מען קען נישט צוריקציען דעם איסור. דאָס איז געוויזן אין די פיגור; אויב דער רעזולטאַט פון רוטין DAC טשעקס איז אַ דורכפאַל, דער ענין וועט נישט אפילו דערגרייכן די LSM כוקס.

SELinux אַדאַפּץ די פלאַסק זיכערהייט אַרקאַטעקטשער פון די Fluke פאָרשונג אָפּערייטינג סיסטעם, ספּעציעל דער פּרינציפּ פון מינדסטער פּריווילעגיע. די עסאַנס פון דעם באַגריף, ווי זיין נאָמען סאַגדזשעס, איז צו געבן די באַניצער אָדער פּראָצעס בלויז די רעכט וואָס זענען נייטיק צו דורכפירן די בדעה אַקשאַנז. דער פּרינציפּ איז ימפּלאַמענאַד מיט געצווונגען אַקסעס טייפּינג, אַזוי אַקסעס קאָנטראָל אין SELinux איז באזירט אויף די פעלד => טיפּ מאָדעל.

דאַנק צו געצווונגען אַקסעס טייפּינג, SELinux האט פיל גרעסערע אַקסעס קאָנטראָל קייפּאַבילאַטיז ווי די טראדיציאנעלן דאַק מאָדעל געניצט אין יוניקס / לינוקס אָפּערייטינג סיסטעמען. פֿאַר בייַשפּיל, איר קענען באַגרענעצן די נעץ פּאָרט נומער וואָס די פטפּ סערווער וועט פאַרבינדן צו, לאָזן שרייבן און טשאַנגינג טעקעס אין אַ זיכער טעקע, אָבער נישט ויסמעקן זיי.

די הויפּט קאַמפּאָונאַנץ פון SELinux זענען:

• פּאָליטיק ענפאָרסמאַנט סערווירער - די הויפּט מעקאַניזאַם פֿאַר אָרגאַנייזינג אַקסעס קאָנטראָל.
• סיסטעם זיכערהייט פּאָליטיק דאַטאַבייס.
• ינטעראַקשאַן מיט די LSM געשעעניש ינטערסעפּטאָר.
• Selinuxfs - פּסעוודאָ-פס, די זעלבע ווי / פּראָק און מאָונטעד אין /sys/fs/selinux. דינאַמיש פּאַפּיאַלייטאַד דורך די לינוקס קערן ביי רונטימע און מיט טעקעס מיט SELinux סטאַטוס אינפֿאָרמאַציע.
• אַקסעס וועקטאָר קאַש - אַן אַגזיליערי מעקאַניזאַם פֿאַר ינקריסינג פּראָודאַקטיוואַטי.

ווי SELinux אַרבעט

עס אַלע אַרבעט ווי דאָס.

1. א געוויסע טעמע, אין SELinux טערמינען, פּערפאָרמז אַ דערלויבט קאַמף אויף אַ כייפעץ נאָך אַ DAC טשעק, ווי געוויזן אין די שפּיץ בילד. די בקשה צו דורכפירן אַן אָפּעראַציע גייט צו די LSM געשעעניש ינטערסעפּטאָר.
2. פֿון דאָרט, די בקשה, צוזאַמען מיט די קאָנטעקסט פון די ונטערטעניק און אַבדזשעקט זיכערהייט, איז דורכגעגאנגען צו די SELinux אַבסטראַקטיאָן און כאָק לאָגיק מאָדולע, וואָס איז פאַראַנטוואָרטלעך פֿאַר ינטעראַקטינג מיט די LSM.
3. די באַשלוס-מאכן אויטאָריטעט אויף די אַקסעס פון אַ ונטערטעניק צו אַ כייפעץ איז די פּאָליטיק ענפאָרסמאַנט סערווירער און עס נעמט דאַטן פון SELinux AnHL.
4. צו מאַכן דיסיזשאַנז וועגן אַקסעס אָדער אָפּלייקענונג, פּאָליטיק ענפאָרסמאַנט סערווירער טורנס צו די אַקסעס וועקטאָר קאַש (AVC) קאַטשינג סאַבסיסטאַם פֿאַר די מערסט געוויינט כּללים.
5. אויב אַ לייזונג פֿאַר די קאָראַספּאַנדינג הערשן איז נישט געפֿונען אין די קאַש, די בעטן איז דורכגעגאנגען צו די זיכערהייט פּאָליטיק דאַטאַבייס.
6. דער זוכן רעזולטאַט פון די דאַטאַבייס און AVC איז אומגעקערט צו די פּאָליטיק ענפאָרסמאַנט סערווירער.
7. אויב די געפונען פּאָליטיק שוועבעלעך די געבעטן קאַמף, די אָפּעראַציע איז ערלויבט. אַנדערש, די אָפּעראַציע איז פּראָוכיבאַטאַד.

אָנפירונג SELinux סעטטינגס

SELinux אַפּערייץ אין איינער פון דריי מאָדעס:

• ענפאָרסינג - שטרענג אַדכיר צו זיכערהייט פּאַלאַסיז.
• פּערמיסיוו - הילעל פון ריסטריקשאַנז איז ערלויבט; אַ קאָראַספּאַנדינג טאָן איז געמאכט אין דעם זשורנאַל.
• פאַרקריפּלט - זיכערהייט פּאַלאַסיז זענען נישט אין ווירקונג.

איר קענט זען אין וואָס מאָדע SELinux איז מיט די פאלגענדע באַפֿעל.

[admin@server ~]$ getenforce
Permissive

טשאַנגינג די מאָדע איידער ריסטאַרטינג, פֿאַר בייַשפּיל, באַשטעטיקן עס צו ענפאָרסינג, אָדער 1. דער פּערמיסיוו פּאַראַמעטער קאָראַספּאַנדז צו די נומעריק קאָד 0.

[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое

איר קענען אויך טוישן די מאָדע דורך עדיטינג די טעקע:

[admin@server ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.

SELINUXTYPE = ציל

דער חילוק מיט setenfoce איז אַז ווען די אָפּערייטינג סיסטעם שיך, די SELinux מאָדע וועט זיין באַשטימט אין לויט מיט די ווערט פון די SELINUX פּאַראַמעטער אין די קאַנפיגיעריישאַן טעקע. אין אַדישאַן, ענדערונגען צו ענפאָרסינג <=> פאַרקריפּלט נעמען ווירקונג בלויז דורך עדיטינג די /etc/selinux/config טעקע און נאָך אַ רעבאָאָט.

זען אַ קורץ סטאַטוס באַריכט:

[admin@server ~]$ sestatus

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
צו זען SELinux אַטריביוץ, עטלעכע נאָרמאַל יוטילאַטיז נוצן די -Z פּאַראַמעטער.

[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:httpd_t:s0     2914 ?        00:00:04 httpd
system_u:system_r:httpd_t:s0     2915 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2916 ?        00:00:00 httpd
system_u:system_r:httpd_t:s0     2917 ?        00:00:00 httpd
...
system_u:system_r:httpd_t:s0     2918 ?        00:00:00 httpd

קאַמפּערד מיט דער נאָרמאַל רעזולטאַט פון ls -l, עס זענען עטלעכע נאָך פעלדער אין די פאלגענדע פֿאָרמאַט:

<user>:<role>:<type>:<level>

די לעצטע פעלד דינאָוץ עפּעס ווי אַ זיכערהייט קלאַסאַפאַקיישאַן און באשטייט פון אַ קאָמבינאַציע פון ​​​​צוויי עלעמענטן:

• s0 - באַטייַט, אויך געשריבן ווי נידעריק-הויך מעהאַלעך
• c0, c1… c1023 - קאַטעגאָריע.

טשאַנגינג אַקסעס קאַנפיגיעריישאַן

ניצן סעמאָדולע צו לאָדן, לייגן און באַזייַטיקן SELinux מאַדזשולז.

[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модуль

ערשטער מאַנשאַפֿט לאָגין לאָגין קאַנעקץ די SELinux באַניצער צו די אַפּערייטינג סיסטעם באַניצער, די רגע דיספּלייז אַ רשימה. צום סוף, די לעצטע באַפֿעל מיט די -r באַשטימען רימוווז די מאַפּינג פון SELinux יוזערז צו אַס אַקאַונץ. א דערקלערונג פון די סינטאַקס פֿאַר MLS / MCS קייט וואַלועס איז אין די פריערדיקע אָפּטיילונג.

[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l

Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol

קאָלעקטיוו סעמאַנאַגע באַניצער געוויינט צו פירן מאַפּינגז צווישן SELinux ניצערס און ראָלעס.

[admin@server ~]$ semanage user -l
                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range             SELinux Roles
guest_u         user       s0         s0                    guest_r
staff_u         staff      s0         s0-s0:c0.c1023        staff_r sysadm_r
...
user_u          user       s0         s0                    user_r
xguest_u        user       s0         s0                    xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u

באַפֿעלן פּאַראַמעטערס:

• - אַ לייגן מנהג ראָלע מאַפּינג פּאָזיציע;
• -ל רשימה פון וואָס ריכטן ניצערס און ראָלעס;
• -ד ויסמעקן באַניצער ראָלע מאַפּינג פּאָזיציע;
• -ר רשימה פון ראָלעס אַטאַטשט צו דער באַניצער;

טעקעס, פּאָרץ און בוליאַן וואַלועס

יעדער SELinux מאָדולע גיט אַ גאַנג פון טעקע טאַגינג כּללים, אָבער איר קענען אויך לייגן דיין אייגענע כּללים אויב נייטיק. פֿאַר בייַשפּיל, מיר וועלן די וועב סערווער צו האָבן אַקסעס רעכט צו די / srv/www טעקע.

[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/

דער ערשטער באַפֿעל רעדזשיסטערז נייַ מאַרקינג כּללים, און די רגע ריסעץ, אָדער גאַנץ שטעלט, די טעקע טייפּס אין לויט מיט די קראַנט כּללים.

פּונקט אַזוי, TCP / UDP פּאָרץ זענען אנגעצייכנט אין אַזאַ אַ וועג אַז בלויז די צונעמען באַדינונגס קענען הערן אויף זיי. פֿאַר בייַשפּיל, אין סדר פֿאַר די וועב סערווער צו הערן אויף פּאָרט 8080, איר דאַרפֿן צו לויפן די באַפֿעל.

[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080

א באַטייטיק נומער פון SELinux מאַדזשולז האָבן פּאַראַמעטערס וואָס קענען נעמען באָאָלעאַן וואַלועס. די גאנצע רשימה פון אַזאַ פּאַראַמעטערס קענען זיין געזען מיט getsebool -a. איר קענען טוישן בוליאַן וואַלועס ניצן setsebool.

[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off

וואַרשטאַט, באַקומען אַקסעס צו די Pgadmin-וועב צובינד

לאָמיר זען אַ פּראַקטיש בייַשפּיל: מיר אינסטאַלירן pgadmin7.6-web אויף RHEL 4 צו פירן די PostgreSQL דאַטאַבייס. מי ר זײנע ן געגאנגע ן א ביסל זוכן מיט די סעטטינגס פון pg_hba.conf, postgresql.conf און config_local.py, שטעלן טעקע פּערמישאַנז, אינסטאַלירן די פעלנדיק פּיטהאָן מאַדזשולז פֿון פּיפּ. אַלץ איז גרייט, מיר קאַטער און באַקומען 500 אינערלעכער סערווירער טעות.

מיר אָנהייבן מיט די טיפּיש סאַספּעקץ, טשעק /var/log/httpd/error_log. עס זענען עטלעכע טשיקאַווע איינסן דאָרט.

[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690] [timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.

אין דעם פונט, רובֿ לינוקס אַדמיניסטראַטאָרס וועט זיין שטארק געפרואווט צו לויפן setencorce 0, און דאָס וועט זיין דער סוף פון עס. פראַנגקלי, איך האָב פּונקט דאָס דער ערשטער מאָל. דאָס איז דאָך אויך אַ אויסוועג, אָבער ווייט פון דער בעסטער.

טראָץ די קאַמבערסאַם דיזיינז, SELinux קענען זיין באַניצער-פרייַנדלעך. נאָר ינסטאַלירן די סעטראָבלעשאָאָט פּעקל און זען די סיסטעם קלאָץ.

[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd

ביטע טאָן אַז די אַודיט סערוויס מוזן זיין ריסטאַרטיד דעם וועג, און נישט ניצן סיסטעמקטל, טראָץ דעם בייַזייַן פון סיסטעמ אין די אַס. אין די סיסטעם קלאָץ וועט זיין אנגעוויזן ניט בלויז די פאַקט פון בלאַקינג, אָבער אויך די סיבה און וועג צו באַקומען דעם פאַרבאָט.

מיר ויספירן די קאַמאַנדז:

[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1

מיר קאָנטראָלירן אַקסעס צו די pgadmin4-וועב בלאַט, אַלץ אַרבעט.

מקור: www.habr.com