Toon posts:

[PHP] hosting panel fail2ban & selinux issues

Pagina: 1
Acties:
  • 213 views

Vraag


Acties:
  • 0Henk 'm!
Mijn vraag
Ik ben bezig met het ontwikkelen van een simpel opensource hosting panel in PHP ter vervanging van Plesk, cPanel en DirectAdmin.
Waarom? Omdat die panels niet doen wat ik wil.
Het systeem is nog in ontwikkeling en niet optimaal beveiligd, en daarvoor wil ik fail2ban uitbreiden en SELinux op 'enforce' kunnen draaien (staat nu op 'permissive').

Hiervoor parse ik de logs in PHP en voer commando's uit zoals
code:
1
2
3
4
setsebool -P httpd_enable_homedirs 1
setsebool -P httpd_enable_cgi 0
setsebool -P httpd_unified 1
setsebool -P httpd_read_user_content 1


Echter loop ik met mijn beperkte SELinux kennis hier vast:
code:
1
2
3
4
5
type=AVC msg=audit(1594117565.267:6992110): avc:  denied  { write } for  pid=18263 comm="php-fpm" path="/home/username/public_html/wp-content/temp-write-test-5f044dbd418d40-63918170" dev="vda1" ino=795466 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_user_content_t:s0 tclass=file permissive=1
    Was caused by:
        Missing type enforcement (TE) allow rule.

        You can use audit2allow to generate a loadable module to allow this access.
pad
code:
1
2
3
/home                  drwxr-xr-x root root   system_u:object_r:home_root_t:s0
/home/user             drwx--x--x user user   unconfined_u:object_r:user_home_dir_t:s0
/home/user/public_html drwxr-x--- user apache unconfined_u:object_r:httpd_user_content_t:s0

Moet ik php-fpm en apache herstarten of mis ik een setup voor php-fpm?
PHP-FPM draait voor elke user zijn eigen pool (geen eigen service).

En fail2ban lijkt niet te werken op mijn jail/filters
code:
1
2
3
4
5
6
7
[INCLUDES]
before = common.conf
[Definition]
_daemon = whmpanel-php
failregex = auth failed: user=.* ip=<HOST>$
ignoreregex =
journalmatch = _SYSTEMD_UNIT=whmpanel-php.service SYSLOG_FACILITY=10

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
[whmpanel]
filter  = whmpanel
port    = 2083
backend = systemd
maxretry = 3

[whmpanel-nohome]
filter  = apache-nohome
port    = http,https
logpath = /home/whmpanel/logs/*_error.log
maxretry = 1

[whmpanel-noscript]
filter  = apache-noscript
port    = http,https
logpath = /home/whmpanel/logs/*_error.log
maxretry = 1


Relevante software en hardware die ik gebruik
CentOS 8
scm.dragonflycms.org/whmpanel/

Wat ik al gevonden of geprobeerd heb
Veel google/duckduckgo laat resultaten zien voor CentOS 6 en 7, maar die zijn niet relevant omdat RedHat de setup strenger/strikter heeft gemaakt.
Ik kom er dus niet uit.

Iemand suggesties?

edit:
kan dit naar 'Non-Windows Operating Systems'?

[Voor 5% gewijzigd door DJMaze op 08-07-2020 08:27]

Maak je niet druk, dat doet de compressor maar

Alle reacties


  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 00:28

Creepy

Moderator Devschuur®

Tactical Espionage Splatterer

Volgens mij heb je hier niet een programmeer probleem te pakken, maar eerder iets dat in de NOS hoek thuishoort omdat je vraag over SELinux en fail2ban gaat. Dat zie je ondertussen zelf ook. Verplaatsen lijkt me op dit moment echter niet handig omdat je twee verschillende vragen hebt. Het lijkt me beter om ze op te splitsen en in NOS dan nieuwe topics te openen. En dat is dan ook de reden dat ik deze sluit ipv verplaats.

Ik denk dat het ook wel goed is om dan meer info toe te voegen. Met je fail2ban probleem geef je nu alleen de regels die je nu hebt en dat het niet werkt, maar wat je nu al hebt geprobeerd e.d., dat zien we nergens terug. Hetzelfde met je vraag over fpm. Je kan zelf even een herstart uitproberen voordat je dat vraagt ;)

[Voor 27% gewijzigd door Creepy op 08-07-2020 09:06]

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have star problems" --Kevlin Henney


Dit topic is gesloten.



Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee