Status & Prestaties
Website Bereikbaarheidsmonitoring
Monitor de bereikbaarheid van HTTP, HTTPS, DNS, UDP, TCP, e-mail en meer.
Website Snelheidsmonitoring
Monitor volledige websiteprestaties door deze te laden met een echte Chrome browser.
Echte Gebruikers Monitoring
Monitor de snelheid van de gebruikerservaring voor bezoekers van je website.
Operaties
Website Transactiemonitoring
Monitor transacties met meerdere stappen en ontvang meldingen als er iets misgaat.
Domeinnaam Verloopmonitoring
Monitor het verlopen van je domeinnamen.
Publieke Statuspagina
Toon realtime operationele updates van je website aan het publiek.
Beveiliging
SSL-Certificaat Monitoring
Monitor het SSL-certificaat van je website.
Malware Monitoring
Nieuw
Ontvang waarschuwingen als je website besmet raakt met virussen of malware.
Klaar om te beginnen? Meld je gratis aan
Bronnen
Leren
Leer nieuwe dingen over verschillende onderwerpen gerelateerd aan websitemonitoring, onderhoud en ontwikkeling.
Vragen
Vind antwoorden op veelgestelde vragen over websitemonitoring, onderhoud en ontwikkeling.
Productinformatie
Blog
Nuttige informatie voor onze klanten over updates en productnieuws.
Klaar om te beginnen? Meld je gratis aan

Hoe Apache Toestaan Om Te Binden Aan Niet-Standaard Poorten In SELinux?

Home  »  Vragen  »  Hoe Apache Toestaan Om Te Binden Aan Niet-Standaard Poorten In SELinux?
Gepubliceerd 14 juli 2024

Probleem: Apache binden aan niet-standaard poorten met SELinux

SELinux kan voorkomen dat Apache bindt aan niet-standaard poorten, wat de configuratieopties van de server beperkt. Deze beveiligingsfunctie kan een probleem zijn wanneer je Apache wilt configureren om te luisteren op aangepaste poorten voor specifieke webapplicaties of services.

Het Apache-poortbindingsprobleem oplossen

Semanage gebruiken om SELinux-poortregels te wijzigen

Om het Apache-poortbindingsprobleem met SELinux op te lossen, gebruik je de semanage-tool. Deze tool laat je SELinux-poortregels wijzigen en nieuwe poorten toevoegen aan de SELinux-configuratie.

Installeer de benodigde tools:

sudo yum -y install policycoreutils-python

Dit commando installeert het policycoreutils-python-pakket, dat de semanage-tool bevat.

Om een nieuwe poort toe te voegen aan de SELinux-configuratie, gebruik je dit commando:

sudo semanage port -a -t http_port_t -p tcp [PORT_NUMBER]

Vervang [PORT_NUMBER] met de poort die je wilt toestaan voor Apache.

Tip: Controleer poorttoevoeging

Nadat je een nieuwe poort hebt toegevoegd, kun je controleren of deze succesvol is toegevoegd aan de SELinux-configuratie door het volgende uit te voeren:

sudo semanage port -l | grep http_port_t

Dit commando zal alle poorten weergeven die zijn gekoppeld aan het http_port_t-type, inclusief je nieuw toegevoegde poort.

Stapsgewijze oplossing

  1. Controleer huidige SELinux-poortinstellingen: Om de huidige SELinux-poortinstellingen voor Apache te zien, voer je uit:

    sudo semanage port -l | grep http_port_t

    Dit commando toont alle poorten die zijn toegestaan voor Apache.

  2. Voeg de nieuwe poort toe aan SELinux-regels: Gebruik het semanage-commando om de nieuwe poort toe te voegen. Bijvoorbeeld, om poort 88 toe te voegen:

    sudo semanage port -a -t http_port_t -p tcp 88

  3. Herstart de Apache-service: Nadat je de nieuwe poort hebt toegevoegd, herstart je Apache om de wijzigingen toe te passen:

    sudo systemctl restart httpd

Aanvullende overwegingen

Tijdelijke vs permanente SELinux-regelwijzigingen

Semanage gebruiken voor permanente wijzigingen: Het semanage-commando maakt permanente wijzigingen aan SELinux-regels. Deze wijzigingen blijven actief na het opnieuw opstarten van het systeem. Deze methode werkt goed voor langdurige configuraties waarbij Apache moet binden aan specifieke niet-standaard poorten.

Opties voor tijdelijke wijzigingen: Voor tijdelijke wijzigingen kun je het 'setenforce'-commando gebruiken om SELinux naar permissive-modus te schakelen:

sudo setenforce 0

Dit commando schakelt SELinux-handhaving voor een korte tijd uit, zodat Apache aan elke poort kan binden. Deze instelling gaat terug naar de standaard enforcing-modus na het opnieuw opstarten van het systeem.

Tip: Beveiligingsrisico

Het schakelen van SELinux naar permissive-modus verlaagt de systeembeveiliging. Gebruik deze methode alleen voor testen en vermijd het in productie.

Beveiligingsimplicaties

Balans tussen gemak en beveiliging: Het toevoegen van niet-standaard poorten aan SELinux-regels voor Apache geeft meer opties maar kan de beveiliging verminderen. Elke toegevoegde poort verhoogt het risico op bedreigingen. Vergelijk altijd de voordelen van het gebruik van niet-standaard poorten met het hogere beveiligingsrisico.

Best practices voor het gebruik van niet-standaard poorten:

  1. Voeg alleen poorten toe die je applicaties nodig hebben.
  2. Controleer je SELinux-poortinstellingen regelmatig om ongebruikte poorten te verwijderen.
  3. Gebruik sterke firewall-regels om de toegang tot niet-standaard poorten te beperken.
  4. Controleer logs op ongebruikelijke activiteit op deze poorten.
  5. Houd je Apache-server en gerelateerde software up-to-date om potentiële risico's te minimaliseren.

Alternatieve benaderingen

Apache gebruiken met verschillende SELinux-contexten

De SELinux-context voor Apache wijzigen: Je kunt de SELinux-context voor Apache wijzigen in plaats van SELinux-poortregels te wijzigen. Deze methode houdt in dat je een andere SELinux-context geeft aan het Apache-proces, waardoor het aan verschillende poorten kan binden.

Om de SELinux-context voor Apache te wijzigen:

  1. Maak een aangepaste SELinux-beleidsmodule:

    ausearch -c 'httpd' --raw | audit2allow -M my-httpd

  2. Laad de nieuwe beleidsmodule:

    semodule -i my-httpd.pp

Voordelen van deze methode:

  • Apache kan aan elke poort binden zonder individuele poortregels te wijzigen.
  • Het biedt een flexibele oplossing voor complexe configuraties.

Nadelen van deze methode:

  • Het kan meer rechten geven dan nodig, wat de beveiliging kan verminderen.
  • Het vereist geavanceerde kennis van SELinux-beleid.
  • Het oplossen van problemen kan moeilijker zijn als er problemen optreden.

Tip: Controleer SELinux-context

Nadat je de SELinux-context voor Apache hebt gewijzigd, controleer je de nieuwe context met het volgende commando:

ps auxZ | grep httpd

Dit toont de SELinux-context die is gekoppeld aan het Apache-proces, zodat je kunt bevestigen dat de wijzigingen correct zijn toegepast.

SELinux uitschakelen (niet aanbevolen)

Waarom het uitschakelen van SELinux riskant is: Het uitschakelen van SELinux verwijdert een belangrijke beveiligingslaag van je systeem. Het maakt je server meer kwetsbaar voor aanvallen en exploits. Enkele risico's zijn:

  • Hoger risico op privilege escalation-aanvallen
  • Minder bescherming tegen malware en ongeautoriseerde toegang
  • Verlies van auditlogs die helpen bij het detecteren en onderzoeken van beveiligingsproblemen
  • Mogelijke naleving-overtredingen voor systemen die SELinux vereisen

Situaties waarin het kan worden overwogen: Hoewel niet aanbevolen, zijn er zeldzame gevallen waarin je zou kunnen denken aan het tijdelijk uitschakelen van SELinux:

  • Tijdens initiële probleemoplossing om SELinux-gerelateerde problemen te identificeren
  • In gecontroleerde testomgevingen voor specifieke applicatietests
  • Bij het uitvoeren van oude applicaties die niet werken met SELinux en niet kunnen worden gewijzigd

Als je SELinux moet uitschakelen, doe dit dan alleen voor een korte tijd en schakel het zo snel mogelijk weer in. Om SELinux uit te schakelen, bewerk je het /etc/selinux/config-bestand en stel je SELINUX=disabled in, en herstart je vervolgens het systeem.

Tip: Beveiligingsrisico

Het uitschakelen van SELinux vermindert de beveiliging van je systeem aanzienlijk. Zoek altijd naar andere oplossingen voordat je deze optie overweegt, vooral in productieomgevingen.

Ontvang Meldingen Wanneer Je Website Uitvalt
Bereikbaarheids- & snelheidsmonitoring voor websites
Meerstaps transactiemonitoring
SSL-certificaat monitoring
Malware monitoring
Statuspagina's & incident meldingen
Bronnen
Prijzen
Blog
Kennisbank
Vragen
Monitoring Checkpoints
Neem Contact Op
Sitemap
API Documentatie
Producten
Bereikbaarheidsmonitoring
Snelheidsmonitoring
Transactiemonitoring
Echte Gebruikers Monitoring
SSL-Certificaat Monitoring
Domeinnaam Verloopmonitoring
Publieke Statuspagina
Malware Monitoring
Nieuw
Tools
Website Beschikbaarheidstest
Bereikbaarheid Calculator
Cron Expressie Generator
Cron Expressie Beschrijver
Hex naar RGB Converter
RGB naar Hex Converter
Toon Alle Tools
Juridisch
Privacybeleid
Cookiebeleid
Algemene Voorwaarden
AVG
© 2015-2025 Uptimia. Alle rechten voorbehouden.
Nederlands Nederlands
English English
Deutsch Deutsch
Français Français
Português Português
Español Español
Italiano Italiano
Nederlands Nederlands