SELinux 导致的 ssh 服务无法绑定端口的问题

2019 年 6 月 19 日 21:43:13Linux评论553字数 378阅读 1 分 15 秒阅读模式

修改 ssh 端口后使用 systemctl 一直无法启动 sshd，报错：

Job for sshd.service invalid.

1	Job for sshd.service invalid.

使用 journalctl -xe 查看错误信息，发现一串没有权限绑定端口错误信息：

-- Unit sshd.service has begun starting up.
Jun 04 18:58:11 instance-1 sshd[20960]: error: Bind to port 22345 on 0.0.0.0 failed: Permission denied.
Jun 04 18:58:11 instance-1 sshd[20960]: error: Bind to port 22345 on :: failed: Permission denied.
Jun 04 18:58:11 instance-1 sshd[20960]: fatal: Cannot bind any address.
Jun 04 18:58:11 instance-1 systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a
Jun 04 18:58:11 instance-1 systemd[1]: Failed to start OpenSSH server daemon.
-- Subject: Unit sshd.service has failed

-- Unit sshd.service has begun starting up.

Jun 04 18:58:11 instance-1 sshd[20960]: error: Bind to port 22345 on 0.0.0.0 failed: Permission denied.

Jun 04 18:58:11 instance-1 sshd[20960]: error: Bind to port 22345 on :: failed: Permission denied.

Jun 04 18:58:11 instance-1 sshd[20960]: fatal: Cannot bind any address.

Jun 04 18:58:11 instance-1 systemd[1]: sshd.service: main process exited, code=exited, status=255/n/a

Jun 04 18:58:11 instance-1 systemd[1]: Failed to start OpenSSH server daemon.

-- Subject: Unit sshd.service has failed

很奇怪，服务是使用 root 身份启动的，端口号也不在 1-1024 之间，不可能出现端口号无法绑定的问题。

开始怀疑是不是端口号被占用了，但是用 netstat 命令查看并没有占用，而且如果被占用报错也应该是 xx already been used，因此排除端口被占用了。

后来发现是开启了 SELinux 导致的，使用 sestatus 查看 SELinux 当前的状态：

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31