sshd[5589]:错误:PAM:pam_open_session():无法创建/删除指定会话的条目

sshd[5589]:错误:PAM:pam_open_session():无法创建/删除指定会话的条目

我正在使用 CentOS7 最小安装。我使用 pam_script 配置了 pam_radius,并且始终能够使用 pubkey auth ssh 到服务器:这是故意的。但是根据强化服务器之后STIG指南(全面的演练可以在这里找到) 我无法再通过 SSH 进入系统;或者更准确地说,我会登录然后立即被踢出。 /var/log/secure 文件中的错误表示:

sshd[5589]:错误:PAM:pam_open_session():无法创建/删除指定会话的条目

按照课程的规定,禁用 selinux 解决了这个问题。但显然这不是一个可以接受的解决方案。

答案1

有些人显然会接受禁用 selinux,或将其设置为宽容作为答案;但总会有一些尖酸刻薄的 Linux 专家插话道:“停止禁用 selinux!”但这就是他们只会说的!不要告诉人们“停止禁用 selinux”,除非您也告诉他们解决方案!

好吧,我找到了这个问题的解决方案,由于我无法在互联网上的任何地方轻松找到它,因此我将其发布在这里。我按照红帽指南进行操作,在这里找到

我敢打赌大多数人都不知道这个工具审核2允许。这是一个救星。我用它轻松创建了一个可加载的 selinux 模块,它解决了我的问题,所以我不必禁用 selinux。我基本上只是在运行时完成了通过 SSH 连接的步骤审核2允许工具,然后它会自动创建模块。然后我加载了模块,重新启动,一切都很好。

audit2allow -a -M mycertwatch

******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i mycertwatch.pp

相关内容