1. ev
  2. Soru-cevap
  3. SELinux ssh ile RSA anahtarını engeller

SELinux ssh ile RSA anahtarını engeller

2015-04-25 35 views
5

Web sitelerimden birinde SELinux'u etkinleştirdiğimi unuttum. Böylece, kullanıcı hesabım ve ssh anahtarımla ana bilgisayara giriş yapmaya gittiğimde, izinlerin reddedildiğini gördüm.SELinux ssh ile RSA anahtarını engeller

[[email protected]:~] #ssh [email protected] 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

Hmmm ... Bu yüzden sunucuya konsolide ettik ve giriş yapabildim. Ben denetim günlüklerini kuyruklu ve bu gördüğüm budur:

type=USER_LOGIN msg=audit(1429981690.809:394593): pid=17074 uid=0  auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023  msg='op=login acct="bluethundr" exe="/usr/sbin/sshd" hostname=? addr=47.18.111.100 terminal=ssh res=failed'

bu cevabını googling ben bu komutu çalıştırmak için tavsiye var:

[[email protected]:~] #restorecon -R -v /home/bluethundr/.ssh 
[[email protected]:~] #

Ama yeniden giriş yapmak gittiğinizde Bunu yaptıktan sonra aynı sonucu elde ediyorum. İzin reddedildi ve günlüklerdeki aynı hata.

Düşünebildiğim tek şey, kullanıcının giriş dizininin bir NFS paylaşımından bağlanmasıdır. SSH'nin bir NFS paylaşımındaki ana dizine izin vermek için kullanabileceğim bazı SELinux incantasyonu olabilir mi? Veya belki başka bir şey eksik miyim?

sayesinde Tim

kaynak

2015-04-25 bluethundr

cevap

9

restorecon ise genellikle ilke ihlal ediliyor olanı bulmak için audit2why denemek ve/veya audit2allow, işe yaramadı. Bu, ortaya çıkan politika değişikliği önerilerini uyguladığımı söylemek değil, yalnızca sorunu çözmek için çok iyi bilgilere yol açıyor.

kaynak

2015-04-25 17:22:23

6

Bingo !! Bu çıkış oldu -w ı audit2why ran

gördüm:

[[email protected]:~] #grep ssh /var/log/audit/audit.log | audit2why -w 
Was caused by: 
    The boolean use_nfs_home_dirs was set incorrectly. 
    Description: 
    Allow use to nfs home dirs 

    Allow access by executing: 
    # setsebool -P use_nfs_home_dirs 1 
    type=AVC msg=audit(1429983513.529:394784): avc: denied { read } for pid=19748 comm="sshd" name="authorized_keys" dev="0:40" ino=275968 scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:nfs_t:s0 tclass=file

Yani benim durumda çatlamak izin audit2why kullanmak NFS ve öneri hakkında olma konusunda benim önsezi gibi görünüyor!

[[email protected]:~/creds] #ssh [email protected] 
Last login: Sat Apr 25 13:41:02 2015 from ool-2f126f64.dyn.optonline.net 
[[email protected] ~]$

Bam !! İşe yarıyor. Yardım ettiğin için teşekkür ederim!

kaynak

2015-04-25 17:44:26 bluethundr

+0

Elbette! Biçim olarak, sorunuzda sorunu nasıl çözdüğünüze dair biçimlendirilmiş içerik, cevaba yönelik herhangi bir özel yorum yazmalı ve sonra işe yaradığı cevabı "kabul etmelisiniz". SELinux kullanmaya devam et, güvenli sistemler için önemli! :) –

İlgili konular

 İlgili konular