我的Redis实例存在一个相当持久的问题.当SE
Linux处于强制模式时,Redis服务器无法启动:
[root@server ~]# service redis start Starting redis-server: [ OK ]
但事实上,它并没有像lsof所示那样开始.它没有返回结果:
[root@server ~]# lsof -i :6379
为了进一步确认它没有运行,有一个redis日志:
[5539] 21 Nov 03:44:34 # opening port 6379: bind: Permission denied
现在,我是SELinux管理的新手,所以请耐心等待,因为我可能错过了一些东西.这是我能够看到的:
[root@server ~]# semanage port -l | grep "redis" redis_port_t tcp 6379 [root@server ~]# semanage user -l SELinux User Prefix MCS Level MCS Range SELinux Roles .... redis user s0 s0 user_r ....
上面的redis用户最初并不存在,但我尝试添加它,因为redis-server真的在它下面运行.那没有帮助……
需要注意的是,Redis服务器在内部使用,因此它只侦听127.0.0.1:6379.
有没有人有任何想法?
目前,我可以将SELinux置于许可模式,但我真的想把它收紧并按照“按书”的方式进行.
更新:
[root@server ~]# ausearch -ts recent -m avc
----
time->Thu Nov 24 13:48:13 2016
type=SYSCALL msg=audit(1480013293.595:34717): arch=c000003e syscall=49 success=no exit=-13 a0=4 a1=7ffea866c0f0 a2=10 a3=7ffea866be50 items=0 ppid=1 pid=16468 auid=0 uid=495 gid=495 euid=495 suid=495 fsuid=495 egid=495 sgid=495 fsgid=495 tty=(none) ses=5202 comm="redis-server" exe="/usr/sbin/redis-server" subj=unconfined_u:system_r:redis_t:s0 key=(null)
type=AVC msg=audit(1480013293.595:34717): avc: denied { name_bind } for pid=16468 comm="redis-server" src=6379 scontext=unconfined_u:system_r:redis_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket
UPDATE(2)
[root@server ~]# rpm -qa | grep -i redis redis-2.4.10-1.el6.x86_64 PHP56w-pecl-redis-2.2.7-1.w6.x86_64
解:
按照@ Matthew的建议,我开始分析redis_port_t和http_port_t:
[root@server ~]# semanage port -l | grep "redis_port_t" redis_port_t tcp 6379 [root@server ~]# semanage port -l | grep "http_port_t" http_port_t tcp 6379,80,81,443,488,8008,8009,8443,9000
它就在那里!端口6379已添加到两个端口策略中!是的,我知道记得在我开始迁移的时候这样做:((对我很遗憾).
所以,运行这个修复了这个问题:
semanage port -d -t http_port_t 6379 semanage permissive -d redis_t // I don't need this anymore service redis restart lsof -i :6379
那里是:)
redis-ser 4575 redis 4u IPv4 236174 0t0 TCP localhost:6379 (LISTEN)
