Я пытаюсь изучить SELinux и просматриваю документацию Red Hat для RHEL 7. Я наткнулся на документацию по многоуровневой безопасности (MLS) и хотел ее попробовать, поэтому я установил SELINUXTYPE = mls и SELINUX = permissive, коснулся /.autorelabel (повторил -F) и перезагрузился.
Мне удалось войти в систему, но я хотел проверить журнал аудита, чтобы убедиться в отсутствии сбоев или отказов, которые помешали бы мне войти в систему в принудительном режиме. Я обнаружил следующее:
type=AVC msg=audit(1457127380.826:208): avc: denied { dyntransition } for pid=2109 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s15:c0.c1023 tcontext=root:sysadm_r:sysadm_t:s0 tclass=process
Итак, я решил, что беспокоиться не о чем (все еще учусь), поэтому я установил SELINUX на принудительное выполнение и перезагрузился. Заблокирован!
Мне удалось вернуться с некоторым взломом и вернуть SELINUX в разрешающий режим, но я не уверен, почему он не работает ...
Я пытался восстановитьcon / usr / sbin / sshd, и у него есть правильный контекст:
ls -Z /usr/sbin/sshd
-rwxr-xr-x. root root system_u:object_r:sshd_exec_t:s0 /usr/sbin/sshd
Но если вы посмотрите на tcontect в ошибке, это будет странно:
tcontext=root:sysadm_r:sysadm_t:s0
В любом случае, как я уже сказал, я все еще учусь, поэтому любые советы были бы полезны ... Документация, объясняющая любые примеры или решения, будет очень признательна - «Научите человека ловить рыбу ...»
Спасибо! Джо
Это выглядит как root не разрешено входить в систему напрямую через ssh в системе MLS.
Вам нужно будет использовать ssh как staff_t пользователь, а затем sudo рутировать.