Em /etc/pam.d/, os arquivos de configuração para sshde logintem algumas regras para selinux. Posso simplesmente desabilitar essas linhas, quando não estou usando o selinux? Eu gostaria de simplificar as regras do pam.
Especificamente, essas linhas são:
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
Estou pedindo para ter certeza, porque acho que às vezes comentar ingenuamente linhas pode interferir no fluxo das regras.
configuração completa sshdestá abaixo:
# PAM configuration for the Secure Shell service
# Standard Un*x authentication.
@include common-auth
# Standard Un*x authorization.
@include common-account
# SELinux needs to be the first session rule. This ensures that any lingering context has been cleared.
# Without this it is possible that a module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
# Set the loginuid process attribute.
session required pam_loginuid.so
# Create a new session keyring.
session optional pam_keyinit.so force revoke
# Standard Un*x session setup and teardown.
@include common-session
# Print the status of the user's mailbox upon successful login.
session optional pam_mail.so standard noenv # [1]
# Set up user limits from /etc/security/limits.conf.
session required pam_limits.so
# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session required pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session required pam_env.so user_readenv=1 envfile=/etc/default/locale
# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context. Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Standard Un*x password updating.
@include common-password
pam_selinux.sodefine os contextos de segurança do SELinux para a sessão PAM. Se o SELinux estiver desabilitado , o módulo PAM não terá nenhum efeito e poderá ser removido.Observe que, se o SELinux estiver no modo permissivo , as regras do SELinux ainda serão usadas, mas não aplicadas. A remoção
pam_selinux.sofará com que os processos sejam executados em contextos de segurança incorretos, o que provavelmente gera muitas mensagens de negação de AVC no log de auditoria.Se o SELinux for habilitado posteriormente,
pam_selinux.soprecisa estar na configuração do PAM para que os logins dos usuários funcionem corretamente.Eu acho que é um monte de coisas que você pode simplificar nos arquivos de configuração antes de tentar remover 2 linhas na configuração do pam se você não souber exatamente o que isso significa. São meus 2 centavos porque não sei nada sobre Pam.