selinux 阻止执行 pam_exec 命令

我看到你已经找到了答案，但由于我正在研究这个问题，我将把它留在这里供后代使用：

---

当您遇到这样的 selinux 拒绝时，您可以使用该audit2allow工具生成更新的 selinux 策略以允许该操作。首先，您可能希望将 selinux 置于宽容模式：

setenforce 0

现在，登录并确保您的 PAM 配置按预期工作。我们这样做是因为很有可能额外的selinux 在第一个之后拒绝，并且在宽容模式下运行将确保它们全部被记录。

现在您可以将 selinux 重新置于强制模式：

setenforce 1

跑步audit2allow -a。这将生成如下内容：

#============= sshd_t ==============

#!!!! This avc can be allowed using one of the these booleans:
#     authlogin_yubikey, nis_enabled
allow sshd_t http_port_t:tcp_socket name_connect;

我说“类似”是因为 (a) 正如我之前所说，可能存在与您当前的 PAM 配置相关的其他拒绝，并且 (b) 此命令会查看审核日志中的所有条目，因此您可以获得之前拒绝的结果实际上与您当前的问题无关。

在这种情况下，我们看到我们可以通过设置现有的 selinux 布尔值来允许被拒绝的操作。那看起来像：

setsebool nis_enabled=1

这可能就是您所需要的。或者，您可以生成 selinux 策略的更新，如下所示：

audit2allow -a -M local

这将生成一个新的策略文件local.pp。您可以通过运行以下命令来激活它：

semodule -i local.pp

有一些关于使用 selinux 的好信息这里，包括更详细的使用概述audit2allow。

好吧，我花了一段时间，但我设法解决了它。我的问题是，在阅读了优秀的文章后，我不知道如何检查 selinux 规则Gentoo SELinux 教程我发现如何使用以下命令查询规则sesearch：

# sesearch --allow -s sshd_t -t unreserved_port_t -c tcp_socket -p name_connect

在这种情况下，我将通知脚本从已知端口切换到随机端口，这就是为什么我unresolved_port_t作为目标类型而不是http_port_t从审核日志报告的目标进行搜索。

在列表中，有这样的规则：

allow sshd_t unreserved_port_t:tcp_socket name_connect; [ nis_enabled ]:True

这是允许的，但受布尔值的限制nis_enabled，事实上，我的系统上禁用了该布尔值（通过检查getsebool -a | grep nis_enable）。

我曾经setsebool nis_enabled on启用过该规则，现在它运行得很好。