Toon posts:

[PHP] hosting panel fail2ban & selinux issues

Pagina: 1
Acties:
  • 217 views

Vraag


Acties:
  • 0Henk 'm!
Mijn vraag
Ik ben bezig met het ontwikkelen van een simpel opensource hosting panel in PHP ter vervanging van Plesk, cPanel en DirectAdmin.
Waarom? Omdat die panels niet doen wat ik wil.
Het systeem is nog in ontwikkeling en niet optimaal beveiligd, en daarvoor wil ik fail2ban uitbreiden en SELinux op 'enforce' kunnen draaien (staat nu op 'permissive').

Hiervoor parse ik de logs in PHP en voer commando's uit zoals
code:
1
2
3
4
setsebool -P httpd_enable_homedirs 1
setsebool -P httpd_enable_cgi 0
setsebool -P httpd_unified 1
setsebool -P httpd_read_user_content 1


Echter loop ik met mijn beperkte SELinux kennis hier vast:
code:
1
2
3
4
5
type=AVC msg=audit(1594117565.267:6992110): avc:  denied  { write } for  pid=18263 comm="php-fpm" path="/home/username/public_html/wp-content/temp-write-test-5f044dbd418d40-63918170" dev="vda1" ino=795466 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_user_content_t:s0 tclass=file permissive=1
    Was caused by:
        Missing type enforcement (TE) allow rule.

        You can use audit2allow to generate a loadable module to allow this access.
pad
code:
1
2
3
/home                  drwxr-xr-x root root   system_u:object_r:home_root_t:s0
/home/user             drwx--x--x user user   unconfined_u:object_r:user_home_dir_t:s0
/home/user/public_html drwxr-x--- user apache unconfined_u:object_r:httpd_user_content_t:s0

Moet ik php-fpm en apache herstarten of mis ik een setup voor php-fpm?
PHP-FPM draait voor elke user zijn eigen pool (geen eigen service).

En fail2ban lijkt niet te werken op mijn jail/filters
code:
1
2
3
4
5
6
7
[INCLUDES]
before = common.conf
[Definition]
_daemon = whmpanel-php
failregex = auth failed: user=.* ip=<HOST>$
ignoreregex =
journalmatch = _SYSTEMD_UNIT=whmpanel-php.service SYSLOG_FACILITY=10

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
[whmpanel]
filter  = whmpanel
port    = 2083
backend = systemd
maxretry = 3

[whmpanel-nohome]
filter  = apache-nohome
port    = http,https
logpath = /home/whmpanel/logs/*_error.log
maxretry = 1

[whmpanel-noscript]
filter  = apache-noscript
port    = http,https
logpath = /home/whmpanel/logs/*_error.log
maxretry = 1


Relevante software en hardware die ik gebruik
CentOS 8
scm.dragonflycms.org/whmpanel/

Wat ik al gevonden of geprobeerd heb
Veel google/duckduckgo laat resultaten zien voor CentOS 6 en 7, maar die zijn niet relevant omdat RedHat de setup strenger/strikter heeft gemaakt.
Ik kom er dus niet uit.

Iemand suggesties?

edit:
kan dit naar 'Non-Windows Operating Systems'?

[Voor 5% gewijzigd door DJMaze op 08-07-2020 08:27]

Maak je niet druk, dat doet de compressor maar

Alle reacties


Dit topic is gesloten.



Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee