SELinux 不允许 oddjobd-mkhomedir 在非标准位置创建用户主目录

SELinux 不允许 oddjobd-mkhomedir 在非标准位置创建用户主目录

我们使用 SSSD 对 CentOS 服务器上的用户进行身份验证。当默认主目录为 /home 时, oddjobd-mkhomedir 工作得很好,但在特定服务器上,我们必须将默认主目录更改为 /data,该目录位于 SAN 挂载上。

现在,每次用户尝试登录时,他们都会进入 bash shell,并显示以下消息。

Creating home directory for first.last.

Could not chdir to home directory /data/X.Y.local/first.last: No such file or directory

-bash-4.1$

我每次尝试都会看到以下 AVC 拒绝消息:

type=AVC msg=audit(1492004159.114:1428): avc:  denied  { create } for  pid=2832 
comm="mkhomedir" name="x.y.local"
scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023
tcontext=system_u:object_r:default_t:s0 tclass=dir

确保更改 /data 的上下文。

 drwxr-xr-x. root root system_u:object_r:home_root_t:s0 data

如果 /data 与 /home 具有相同的上下文,为什么 SELinux 限制 oddjobd 创建 /data/XYlocal/first.last ?

# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted

[更新]

不确定这是否是解决此问题的正确方法,但添加以下三个条目后,用户现在可以登录并访问其主目录。对于新用户的目录是根据下面定义的上下文创建的。

semanage fcontext -a -t home_root_t /data
semanage fcontext -a -t user_home_dir_t /data/x.y.local
semanage fcontext -a -t user_home_t "/data/x.y.local(/.*)?"

这是解决这个问题的正确方法吗?

答案1

最后一部分semanage fcontext是永久将上下文设置为 yes 的正确方法。不过,您需要运行restorecon才能使其生效。

restorecon -Rv /data

restorecon将考虑 中的任何内容/etc/selinux/targeted/contexts/files/file_contexts.local,其中应该包含您刚刚使用添加的自定义 fcontextssemanage

要临时设置这些上下文,请参考chcon命令:

chcon -Rv -t home_root_t /data 

答案2

重新定位主目录时,最好的解决方案可能是使用 EQUAL 机制,semanage fcontext如中所述这个关于服务器故障的答案

semanage fcontext -a -e /home /data

这是为了确保原居住地的所有规则也适用于新居住地。

相关内容