| Scroll Ignore | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
|
Contexte
Graphite dispose d'une interface pour consulter les métriques.
- Cette interface n'est pas accessible par défaut ( elle est uniquement disponible sur l'adresse 127.0.0.1 ), et les droits SELinux ne sont pas configurés pour qu'elle soit opérationnelle.
- Pour la rendre utilisable, il faut activer un paramètre de SELinux qui peut rendre les scripts ou modules invoqués par Apache, qui sont plus vulnérables aux attaques par dépassement de pile.SELinux
- Voir la définition du booléen httpd_execmem sur la page https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/sect-managing_confined_services-the_apache_http_server-booleans
- REMARQUE : Cependant cela rend vulnérables les scripts ou modules invoqués par Apache, aux attaques par dépassement de pile.
- Donc nous ne recommendons pas l'utilisation de cette interface.
Pour activer cette interface, la marche à suivre est la suivante :
RHEL / CentOS 7 ou RHEL / Alma / Rocky
88 ou RHEL / Alma / Rocky 9
Debian
Pour rendre l'interface accessible, éditer le fichier
- /etc/httpd/conf.d/graphite.conf
Remplacer la ligne :
| Code Block | ||||
|---|---|---|---|---|
| ||||
<VirtualHost 127.0.0.1:80> |
par
| Code Block | ||||
|---|---|---|---|---|
| ||||
<VirtualHost *:80> |
Autoriser la génération des graphes dans Apache en modifiant les droits SELinux :
| Code Block | ||||
|---|---|---|---|---|
| ||||
setsebool -P httpd_execmem 1 |
Enfin redémarrer Apache pour prendre en compte ces modifications :
| Code Block | ||||
|---|---|---|---|---|
| ||||
systemctl restart httpd |
Pour rendre l'interface accessible, éditer le fichier
- /etc/apache2/sites-available/graphite.conf
Remplacer la ligne :
| Code Block | ||||
|---|---|---|---|---|
| ||||
<VirtualHost 127.0.0.1:80> |
par
| Code Block | ||||
|---|---|---|---|---|
| ||||
<VirtualHost *:80> |
Autoriser la génération des graphes dans Apache en modifiant les droits SELinux :
| Code Block | ||||
|---|---|---|---|---|
| ||||
setsebool -P httpd_execmem 1 |
Enfin redémarrer Apache pour prendre en compte ces modifications :
| Code Block | ||||
|---|---|---|---|---|
| ||||
systemctl restart apache2 |