我正在尝试将 sshd 设置为在 RHEL7 服务器上的 xinetd 下运行。我在备用端口上运行 sshd,使用 xinetd 来限制可以连接的 IP。
如果我禁用 SELinux,这在 RHEL6 和 RHEL7 上都可以正常工作。但是,RHEL7 上的目标 SELinux 策略正在阻止它。
不幸的是,当它失败时,它在 /var/log/audit 中并没有多大用处。我的连接尝试产生了两行成功的 CRYPTO_KEY_USER 操作,然后是这个(单行,我已经包装了):
type=USER_LOGIN msg=audit(1485378997.248:18523): pid=6812 uid=0
auid=4294967295 ses=4294967295
subj=system_u:system_r:sshd_t:s0-s0:c0.c1023
msg='op=login acct="(unknown)" exe="/usr/sbin/sshd"
hostname=? addr=A.B.C.D terminal=ssh res=failed'
audit2why甚至不承认存在问题。我猜它正在寻找 DENY 事件或类似的东西,而不是失败。
我将调试日志添加到 sshd 并找到了这个(这次没有包装):
debug1: SELinux support enabled [preauth]
debug3: ssh_selinux_change_context: setting context from 'system_u:system_r:sshd_t:s0-s0:c0.c1023' to 'system_u:system_r:sshd_net_t:s0-s0:c0.c1023' [preauth]
debug3: privsep user:group 74:74 [preauth]
debug1: permanently_set_uid: 74/74 [preauth]
debug1: list_hostkey_types: ssh-rsa [preauth]
debug1: SSH2_MSG_KEXINIT sent [preauth]
Write failed: Permission denied [preauth]
我想这是我的问题 - 从 sshd_t 到 sshd_net_t 的转换。然而,在没有任何来自审计日志的有用信息的情况下,我已经达到了我的 SElinux 调试技能的极限。
一位同事建议我在许可模式下查看成功连接的审核日志。不幸的是,没有提到 sshd_net_t 的成功操作。以下是相关的日志条目: http: //pastebin.com/raw/9sSVpgLq
我确实在 redhat bug tracker 上看到了一些相关信息,但它并没有让我对解决方案走得太远。https://bugzilla.redhat.com/show_bug.cgi?id=1008580
事实证明,某些 SELinux 规则默认情况下不会被审计。跑步:
即使在策略中的“dontaudit”规则上也启用审计日志记录。
一旦我这样做了,就很容易找到丢失的 SELinux 权限(它们是
allow sshd_net_t inetd_t:tcp_socket (read|write);)。