Arama Yap Mesaj Gönder
Biz Sizi Arayalım
+90
X
X
X
X

Bize Ulaşın

Konum Halkalı merkez mahallesi fatih cd ozgur apt no 46 , Küçükçekmece , İstanbul , 34303 , TR
SELinux ve Güvenlik

SELinux Permission Denied ve AVC Denial Nasıl Çözülür?

SELinux, klasik kullanıcı/grup izinlerinden sonra ikinci bir erişim politikası uygular. Dosya izinleri doğru görünmesine rağmen servis erişemiyorsa AVC logu, file context, port etiketi ve boolean değerleri incelenmelidir.

AVC DeniedrestoreconsemanageFile ContextSELinux Boolean
root@linux:~#
type=AVC msg=audit: avc: denied { connectto } for pid=1234 comm="nginx"
Permission denied while connecting to upstream
8Gerçek hata mesajı
6Güvenli teşhis komutu
3Dağıtım ve panel akışı
7Teknik SSS yanıtı
01
Teknik yaklaşım

SELinux AVC Denied sorunu nasıl ayrıştırılır?

SELinux, klasik kullanıcı/grup izinlerinden sonra ikinci bir erişim politikası uygular. Dosya izinleri doğru görünmesine rağmen servis erişemiyorsa AVC logu, file context, port etiketi ve boolean değerleri incelenmelidir.

01

Tam hatayı kaydedin

Ekrandaki genel uyarı yerine journal, servis ve kernel logundaki ilk gerçek hata mesajını zaman bilgisiyle alın.

02

Katmanları ayırın

Servis, disk, ağ, izin, güvenlik politikası ve uygulama yapılandırmasını aynı anda değiştirmeden ayrı test edin.

03

Dağıtımı doğrulayın

Ubuntu/Debian ile AlmaLinux/Rocky/CloudLinux üzerinde servis adı, paket yöneticisi ve firewall aracı farklı olabilir.

04

Geri dönüş hazırlayın

SSH, ağ, firewall, boot ve disk değişikliklerinde ikinci oturum, konsol, snapshot veya güncel yedek bulundurun.

SELinux’u kalıcı disabled yapmayın.

02
Hata sözlüğü

Log mesajları, nedenleri ve ilk güvenli işlem

8 kayıt
01kritik

AVC denied

Anlamı: SELinux politikası işlemi engelledi.

Muhtemel neden: Yanlış context, port veya boolean.

02kritik

Permission denied despite chmod

Anlamı: Unix izinleri yeterli olsa da MAC politikası engelliyor.

Muhtemel neden: Yanlış SELinux label.

03uyari

nginx cannot connect to upstream

Anlamı: Web servisi dış bağlantıya izinli değil.

Muhtemel neden: httpd_can_network_connect kapalı.

04uyari

httpd cannot write directory

Anlamı: Web servisi dizine yazamıyor.

Muhtemel neden: Yanlış writable content context.

05uyari

Service cannot bind custom port

Anlamı: Port servis türüyle etiketli değil.

Muhtemel neden: Standart dışı port.

06uyari

Database data directory denied

Anlamı: Veri dizini varsayılan konum dışında.

Muhtemel neden: Yeni dizinde yanlış context.

07uyari

Container volume permission denied

Anlamı: Container label’ı volume ile uyumsuz.

Muhtemel neden: Eksik container_file_t veya relabel.

08bilgi

setenforce 0 fixes issue

Anlamı: Sorunun SELinux katmanında olduğunu gösterir.

Muhtemel neden: Policy veya context eksikliği.

Bu ifadeyle eşleşen hata kaydı bulunamadı.

03
Kopyalanabilir kontroller

SSH ve sistem teşhis komutları

SELinux durumu

getenforce
sestatus

Aktif mod ve policy bilgisini gösterir.

Son AVC kayıtları

ausearch -m AVC,USER_AVC -ts recent 2>/dev/null | tail -n 120

Son SELinux engellerini gösterir.

Context karşılaştırma

ls -Zd /var/www/html /özel/webroot 2>/dev/null
matchpathcon /özel/webroot 2>/dev/null || true

Mevcut ve beklenen context değerlerini gösterir.

Dry-run restorecon

restorecon -nRv /özel/webroot

Değişiklik yapmadan hangi label’ların düzeltileceğini gösterir.

Boolean değerleri

getsebool -a | grep -E '^httpd_|^mysql_|^postgresql_'

İlgili servis boolean’larını gösterir.

Port etiketleri

semanage port -l | grep -E 'http_port_t|ssh_port_t|mysqld_port_t|postgresql_port_t'

Servis türlerine izinli portları gösterir.

04
Ortama göre uygulama

Ubuntu, AlmaLinux ve panel sunucusu ayrımı

AlmaLinux / Rocky

SELinux varsayılan enforcing modda tutulmalı; policycoreutils-python-utils araçlarıyla kalıcı label yönetilmelidir.

  • rpm -q policycoreutils-python-utils
  • getenforce
  • ausearch -m AVC -ts recent 2>/dev/null | tail

CloudLinux / cPanel

Kullanıcı izolasyonu, CageFS ve panel özel context’leri nedeniyle genel audit2allow policy’si riskli olabilir.

  • cldetect --detect-edition 2>/dev/null || true
  • cagefsctl --status 2>/dev/null || true
  • sestatus

Plesk

Plesk’in vhost ve servis dizinlerindeki üretici context’leri korunmalı; özel web root değişiklikleri fcontext kuralıyla yapılmalıdır.

  • plesk version 2>/dev/null || true
  • ls -Zd /var/www/vhosts /var/www/vhosts/system 2>/dev/null
  • ausearch -m AVC -ts recent 2>/dev/null | tail
Güvenlik ve erişim riski

Kesinlikle yapmayın

  • SELinux’u kalıcı disabled yapmayın.
  • audit2allow çıktısını incelemeden modül olarak yüklemeyin.
  • chcon ile geçici label verip kalıcı çözüm sanmayın.
  • Tüm web dizinlerini httpd_sys_rw_content_t yapmayın.
İşlem sonrası kontrol

Çözümü doğrulayın

  • SELinux enforcing modda servis çalışıyor.
  • Yeni AVC denial oluşmuyor.
  • Yalnız gereken dizin ve portlara izin verilmiş.
  • restorecon sonrasında özel ayar kalıcı korunuyor.
05
İç SEO içerik kümesi

İlgili Linux hata çözümleri

06
Birincil teknik kaynaklar

Resmî Linux ve dağıtım belgeleri

07
Sık sorulan sorular

SELinux AVC Denied hakkında merak edilenler

SELinux AVC Denied sorununda ilk işlem nedir?

Ekrandaki veya logdaki tam hata mesajı zaman bilgisiyle kaydedilir; ardından servis, ağ, disk ve güvenlik katmanları ayrı test edilir.

Ubuntu ile AlmaLinux komutları neden farklı?

Paket yöneticisi, firewall, ağ yöneticisi ve bazı servis adları dağıtım ailelerine göre farklıdır. Sayfadaki dağıtım bölümü bu ayrımı gösterir.

Servisi yeniden başlatmak çözüm mü?

Geçici olarak çalıştırabilir ancak log ve kaynak verisi alınmadan yapılan restart kök nedeni gizleyebilir.

Komutları doğrudan üretimde çalıştırabilir miyim?

Salt okunur teşhis komutları genellikle güvenlidir. Config, firewall, disk ve recovery değişikliklerinde konsol, yedek ve geri dönüş planı gerekir.

cPanel veya Plesk sunucusunda aynı adımlar geçerli mi?

Linux katmanı aynıdır ancak panel servis wrapper’ları, firewall eklentileri ve üretici paketleri ayrıca dikkate alınmalıdır.

Root erişimini kaybetmemek için ne yapılmalı?

SSH, firewall, network veya boot değişikliklerinde ikinci oturum ve sağlayıcı konsolu açık tutulmalıdır.

Bu rehber Google’da birinci sıra garantisi verir mi?

Hayır. Teknik doğruluk ve kapsam güçlü temel sağlar; sıralama rekabet, site otoritesi, iç link, hız ve kullanıcı davranışına da bağlıdır.

EKA YAZILIM VE BİLİŞİM SİSTEMLERİ

Linux sunucunuzu erişim veya veri kaybı oluşturmadan düzeltelim

Ubuntu, Debian, AlmaLinux, Rocky ve CloudLinux servis, disk, ağ, güvenlik, performans ve boot sorunlarını log verileriyle analiz ediyoruz.

Teknik Destek AlWhatsApp ile Yaz
Top