Я пытаюсь изучить SELinux и просматриваю документацию Red Hat для RHEL 7. Я наткнулся на документацию по многоуровневой безопасности (MLS) и хотел ее попробовать, поэтому Я установил SELINUXTYPE = mls и SELINUX = permissive, коснулся /.autorelabel (вставил в него -F) и перезагрузился.
Я смог войти в систему, но хотел проверить журнал аудита, чтобы убедиться, что не произойдет сбоев или отказов, которые помешали бы мне войти в систему в принудительном режиме. Я обнаружил следующее:
type=AVC msg=audit(1457127380.826:208): avc: denied { dyntransition } for pid=2109 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s15:c0.c1023 tcontext=root:sysadm_r:sysadm_t:s0 tclass=process
Итак, я решил, что беспокоиться не о чем (все еще учусь), поэтому я установил SELINUX на принудительное выполнение и перезагрузился. Заблокирован!
Я смог вернуться с помощью взлома и снова установил SELINUX в разрешающий режим, но я не уверен, почему он не работает ...
Я попытался восстановить con / usr / sbin / sshd и у него правильный контекст:
ls -Z /usr/sbin/sshd
-rwxr-xr-x. root root system_u:object_r:sshd_exec_t:s0 /usr/sbin/sshd
Но если вы посмотрите на tcontect в ошибке, это будет странно:
tcontext=root:sysadm_r:sysadm_t:s0
В любом случае, как я уже сказал, я все еще учусь, поэтому любые советы будут полезны ... Документация для объяснения приветствуются любые примеры или решения - «Научи человека ловить рыбу ...»
Большое спасибо! Джо
Похоже, что root
не имеет права входить в систему напрямую через ssh в системе MLS.
Вам потребуется ssh как staff_t
], а затем sudo
root.