Setup SELinux When Installing nginx on Centos 7 - goddes4/python-study-wiki GitHub Wiki

Centos 7 에 Nginx + uWSGI 설치시 SELinux 설정

Centos 7 에서 Nginx + uWSGU + Flask 를 사용할 때 Nginx 와 uWSGI 간 내부 소켓 통신에서 권한 문제가 발생한다. 문제의 원인은 SELinux 인 경우가 다수이다.

SELinux가 활성화 되면 특정 프로그램이 특정 파일에 접근 가능한지를 판단하고 그에 따라 허용 또는 차단한다.

예를 들면 nginx가 uWSGI 와 통신 하기 위해 생성한 unix sock 파일에 에 쓰기 권한이 있는지 확인하고 없으면 차단한다.

다음은 위 예시에 대한 차단 로그이다. 로그 파일은 /var/log/audit/audit.log 이다.

type=AVC msg=audit(1475712790.359:4968): avc:  denied  { write } for  pid=17389 comm="nginx" 
name="uwsgi.sock" dev="tmpfs" ino=113259 scontext=system_u:system_r:httpd_t:s0 
tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file

SELinux 란

Linux의 보안을 강화해 주는 보안 강화 커널
zero-day 공격 및 buffer overflow 등 어플리케이션 취약점으로 인한 해킹을 방지해줌

SELinux 모드 확인

# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

해결방법

다음에 설명된 4가지 방법중 별도의 믿을만한 보안솔루션을 가지고 있지 않다면 4번째 방법을 가장 추천한다.

해결 방법 #1 (SELinux 해제)

SELINUX 값을 enforcing 에서 disabled 로 변경 후 저장 및 재부팅 한다.
인터넷에 오픈되지 않는 경우나 서버팜단에 별도의 보안장비(방화벽, IPS)등이 구성되어 있는 경우 사용한다.

# vi /etc/sysconfig/selinux

해결 방법 #2 (동작모드 : Permissive 변경)

이 방법은 SELinux의 동작 모드를 Enforcing 에서 Permissive 로 변경하여, rule에 어긋나더라도 audit log를 남기고 동작은 허용된다.
근본적 해결은 아니고 오류의 원인이 SELinux 임을 판단할 때 유용하게 사용된다.

# setenforce 0
# getenforce
Permissive

해결 방법 #3 (httpd_can_network_connect 활성화)

httpd 네트워크 접속을 허용하여 Nginx 와 uWSGI의 통신을 가능하게 해준다.

# getsebool -a | grep http
# setsebool httpd_can_network_connect on -P

해결 방법 #4 (새로운 정책 적용)

audit log 를 이용하여 권한 정책 파일을 만든다.
실행 결과로 .pp 파일과 .te 파일이 만들어 진다.
te 파일은 추가되는 정책 정보를 담고 있고, pp 파일은 새로운 권한 정책을 적용하는데 사용된다.

audit2allow 사용을 위한 패키지 설치

audit2allow 파일이 존재하지 않는 경우 policycoreutils-python를 설치한다.

# yum install policycoreutils-python

접근이 허용되지 않는 항목에대해 권한을 주는 정책 생성 및 적용

# cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M nginx
# semodule -i nginx.pp

정책 취소

향후에 정책을 취소할 경우를 대비하여 pp 파일을 보존해주는 것이 좋다.

# semodule -r httpd.pp

write 권한 정책 결과물 예시

Audit Denied 로그

type=AVC msg=audit(1475712790.359:4968): avc:  denied  { write } for  pid=17389 comm="nginx" 
name="uwsgi.sock" dev="tmpfs" ino=113259 scontext=system_u:system_r:httpd_t:s0 
tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file

정책 결과물

module nginx 1.0;

require {
        type var_run_t;
        type httpd_t;
        class sock_file write;
}

#============= httpd_t ==============
allow httpd_t var_run_t:sock_file write;

name_connect 권한 정책 결과물 예시

Audit Denied 로그

type=AVC msg=audit(1475713241.083:4976): avc:  denied  { name_connect } for  pid=17896 comm="nginx" 
dest=8787 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:jboss_debug_port_t:s0 
tclass=tcp_socket

정책 결과물

module nginx 1.0;

require {
        type httpd_t;
        type jboss_debug_port_t;
        class tcp_socket name_connect;
}

#============= httpd_t ==============

#!!!! This avc is allowed in the current policy
allow httpd_t jboss_debug_port_t:tcp_socket name_connect;